Autospill napad krade lozinke iz menadžera lozinki na Androidu
Mobilni telefoni, 12.12.2023, 10:30 AM
Većina menadžera lozinki za Android ranjiva je na napad koji su razvili istraživači sa Međunarodnog instituta za informacione tehnologije koji su novi napad nazvali Autospill. Ovaj sofisticirani napad omogućava napadačima da ukradu korisnička imena i lozinke iz većine popularnih menadžera lozinki na Android platformi.
Istraživači su testirali ovaj napad na različitim verzijama Androida (10, 11 i 12) i otkrili da su 1password 7.9.4, Lastpass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 i Keepass2android 1.09c-R0 ranjivi na Autospill napad.
Google Smart Lock 13.30.8.26 i Dashlane 6.2221.3 imaju drugačiji tehnički pristup za proces automatskog popunjavanja tako da ne otkrivaju osetljive podatke, osim ako nije korišćen JavaScript injection.
Android aplikacije često koriste WebView Controls za prikazivanje veb sadržaja, kao što su stranice za prijavljivanje unutar aplikacije, umesto da preusmere korisnike u glavni pretraživač.
Menadžeri lozinki na Androidu koriste WebView da automatski upisuju kredencijale korisnika kada aplikacija učita stranicu za prijavu na servise kao što su Apple, Facebook, Microsoft ili Google.
Istraživači su rekli da je moguće iskoristiti slabosti u ovom procesu da bi se uhvatili automatski popunjeni kredencijali, čak i bez JavaScript injection. Ako je JavaScript injection omogućen, svi menadžeri lozinki na Androidu su ranjivi na AutoSpill napad, kažu istraživači.
AutoSpill je rezultat neuspeha Androida da sprovede ili jasno definiše odgovornost za bezbedno rukovanje automatski popunjenim podacima, što može dovesti do njihovog curenja ili krađe od strane aplikacije domaćina.
Autospill napad koristi zlonamernu aplikaciju koja se instalira na Android uređaju žrtve. Kada se takva aplikacija instalira, ona koristi ranjivost u Androidu kako bi prevarila menadžere lozinki i prisilila ih da automatski popune podatke za prijavu na lažnoj veb stranici za prijavljivanje koju kontroliše napadač. Na taj način, napadači mogu prikupiti osetljive podatke za prijavljivanje i kasnije ih zloupotrebiti, a da na uređaju ne ostanu nikakvi tragovi napada.
Ova ranjivost je posebno zabrinjavajuća jer većina Android korisnika koristi menadžere lozinki kako bi olakšali proces prijave na veb sajtove i aplikacije.
Dodatni tehnički detalji o napadu Autospill dostupni su u slajdovima iz prezentacije istraživača koja je prikazana na konferenciji Black Hat Europe.
Istraživači su obavestili pogođene proizvođače softvera i tim za bezbednost Androida o ovom napadu i dali svoje predloge za rešavanje problema.
Foto: Craig Dennis
Izdvojeno
Google je prošle godine sprečio objavljivanje 2,3 miliona potencijalno opasnih Android aplikacija na Google Play
Google je objavio da je prošle godine blokirao objavljivanje 2,28 miliona Android aplikacija na Google Play zbog toga što su kršile različite smer... Dalje
Brokewell je novi trojanac koji preuzima kontrolu nad zaraženim Android uređajima i krade podatke korisnika
Istraživači bezbednosti iz kompanije ThreatFabric otkrili su novog bankarskog trojanca za Android koga su nazvali Brokewell, koji može da snimi sva... Dalje
Bankarski malver sakriven u antivirusnoj aplikaciji
Istraživači kompanije Fox-IT otkrili su novu verziju bankarskog trojanca „Vultur“ za Android koja u odnosu na ranije verzije ima napredn... Dalje
Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije
Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje
WhatsApp će blokirati skrinšotove za slike profila
WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje
Pratite nas
Nagrade