Autospill napad krade lozinke iz menadžera lozinki na Androidu

Mobilni telefoni, 12.12.2023, 10:30 AM

Autospill napad krade lozinke iz menadžera lozinki na Androidu

Većina menadžera lozinki za Android ranjiva je na napad koji su razvili istraživači sa Međunarodnog instituta za informacione tehnologije koji su novi napad nazvali Autospill. Ovaj sofisticirani napad omogućava napadačima da ukradu korisnička imena i lozinke iz većine popularnih menadžera lozinki na Android platformi.

Istraživači su testirali ovaj napad na različitim verzijama Androida (10, 11 i 12) i otkrili da su 1password 7.9.4, Lastpass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 i Keepass2android 1.09c-R0 ranjivi na Autospill napad.

Google Smart Lock 13.30.8.26 i Dashlane 6.2221.3 imaju drugačiji tehnički pristup za proces automatskog popunjavanja tako da ne otkrivaju osetljive podatke, osim ako nije korišćen JavaScript injection.

Android aplikacije često koriste WebView Controls za prikazivanje veb sadržaja, kao što su stranice za prijavljivanje unutar aplikacije, umesto da preusmere korisnike u glavni pretraživač.

Menadžeri lozinki na Androidu koriste WebView da automatski upisuju kredencijale korisnika kada aplikacija učita stranicu za prijavu na servise kao što su Apple, Facebook, Microsoft ili Google.

Istraživači su rekli da je moguće iskoristiti slabosti u ovom procesu da bi se uhvatili automatski popunjeni kredencijali, čak i bez JavaScript injection. Ako je JavaScript injection omogućen, svi menadžeri lozinki na Androidu su ranjivi na AutoSpill napad, kažu istraživači.

AutoSpill je rezultat neuspeha Androida da sprovede ili jasno definiše odgovornost za bezbedno rukovanje automatski popunjenim podacima, što može dovesti do njihovog curenja ili krađe od strane aplikacije domaćina.

Autospill napad koristi zlonamernu aplikaciju koja se instalira na Android uređaju žrtve. Kada se takva aplikacija instalira, ona koristi ranjivost u Androidu kako bi prevarila menadžere lozinki i prisilila ih da automatski popune podatke za prijavu na lažnoj veb stranici za prijavljivanje koju kontroliše napadač. Na taj način, napadači mogu prikupiti osetljive podatke za prijavljivanje i kasnije ih zloupotrebiti, a da na uređaju ne ostanu nikakvi tragovi napada.

Ova ranjivost je posebno zabrinjavajuća jer većina Android korisnika koristi menadžere lozinki kako bi olakšali proces prijave na veb sajtove i aplikacije.

Dodatni tehnički detalji o napadu Autospill dostupni su u slajdovima iz prezentacije istraživača koja je prikazana na konferenciji Black Hat Europe.

Istraživači su obavestili pogođene proizvođače softvera i tim za bezbednost Androida o ovom napadu i dali svoje predloge za rešavanje problema.

Foto: Craig Dennis


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Izveštaj kompanije Kaspersky predstavljen na Svetskom kongresu mobilnih tehnologija u Barseloni, otkrio je eskalaciju rizika sa kojima se korisnici m... Dalje

Trojanac Anatsa ponovo pronađen u aplikacijama na Google Play

Trojanac Anatsa ponovo pronađen u aplikacijama na Google Play

Istraživači iz firme ThreatFabric primetili su na Google Play pet aplikacija koje je preuzelo više od 150.000 korisnika koji su na taj način infic... Dalje

Android malver XLoader se širi preko SMS poruka

Android malver XLoader se širi preko SMS poruka

Istraživači iz kompanije McAfee otkrili su novu verziju Android malvera XLoader koji se širi uglavnom putem SMS poruka koje sadrže skraćeni URL k... Dalje

Lažna verzija popularne aplikacije LastPass u Apple App Storeu

Lažna verzija popularne aplikacije LastPass u Apple App Storeu

U Apple App Storeu pojavila se lažna aplikacija LassPass za koju se pretpostavlja da se koristi kao aplikacija za krađu lozinki korisnika. Kompanija... Dalje

Google će blokirati instaliranje aplikacija iz spoljnih izvora koje zahtevaju rizične dozvole

Google će blokirati instaliranje aplikacija iz spoljnih izvora koje zahtevaju rizične dozvole

Google pokreće pilot program za borbu protiv finansijskih prevara blokiranjem bočnog učitavanja Android APK fajlova koji zahtevaju pristup rizični... Dalje