Alerta de vazamento! Seu gerenciador de senhas do Android pode expor seus detalhes de login
Os gerenciadores de senhas no Android são menos seguros do que você imagina © Tada Images/Shutterstock
**Uma nova vulnerabilidade de segurança foi descoberta no Android. Relaciona-se com ** que seria um pouco falador demais com seus dados pessoais.
Os gerenciadores de senhas estão agora disponíveis em várias plataformas, incluindo dispositivos móveis, computadores e tablets. Isso permite que os usuários da Internet evitem inserir informações de login em cada site ou aplicativo que acessam, armazenando suas credenciais com segurança. No entanto, pesquisas recentes revelaram que esses mesmos gerenciadores de senhas podem ser potencialmente explorados por aplicativos maliciosos para obter dados confidenciais.
“AutoSpill”, um novo vetor de pirataria
Durante o recente evento Black Hat Europe, uma equipe de pesquisadores do Instituto Indiano de Tecnologia da Informação de Hyderabad (IIITH), apresentou a descoberta do “AutoSpill”, uma vulnerabilidade presente nos recursos de segurança do sistema operacional Android que permite o acesso não autorizado a informações confidenciais, como como senhas. Isso é conseguido por meio de uma técnica pela qual um aplicativo nocivo utiliza o recurso integrado “Webview” para extrair credenciais inseridas pelo usuário de gerenciadores de senhas, enquanto disfarça suas ações sob o pretexto de abrir uma simples visualização de página da web.
De acordo com as declarações fornecidas pelos pesquisadores à estimada publicação TechCrunch, foi revelado que quando um aplicativo inicia a abertura de uma janela Webview e utiliza informações recuperadas de um gerenciador de senhas, medidas de segurança ideais determinam que tais dados devem ser apenas acessível dentro dos limites da página da web atualmente exibida na tela do dispositivo. No entanto, parece que esse cenário ideal nem sempre é verdadeiro, pois o processo de preenchimento automático das credenciais de login pode revelá-las inadvertidamente ao próprio aplicativo subjacente.
A utilização de um gerenciador de senhas para autenticar o acesso ao Spotify por meio da conta do Facebook pode resultar na transmissão de dados pessoais do servidor do Facebook diretamente para o aplicativo Spotify, em vez de permanecer apenas entre o usuário e o servidor. Embora esta prática possa não representar riscos de segurança significativos ao usar aplicações legítimas, pode tornar-se um inconveniente ao lidar com aplicações comprometidas que contêm código malicioso projetado para interceptar informações confidenciais.
Tenha cuidado com os aplicativos que você baixa
Uma potencial iteração do Spotify pode enganar os usuários, apresentando um ar de autenticidade através da utilização do identificador do Facebook, ao mesmo tempo que obtém essas informações através da comunicação do servidor, em vez de solicitá-las diretamente ao usuário. Esta abordagem contorna a necessidade de phishing e permite acesso não autorizado a dados confidenciais. Como explica um pesquisador, “qualquer aplicativo malicioso que solicite conexão através de sites externos como Google ou Facebook pode obter acesso automático a detalhes confidenciais.
Parece que um problema predominante afetou várias soluções importantes de gerenciamento de senhas, incluindo LastPass, Dashlane, Keeper e Bitwarden. Embora certos aplicativos nessas plataformas tenham implementado notificações de aviso, esse desafio está enraizado no nível do sistema operacional, necessitando de retificação por parte do Google. Até que o Google resolva o problema, seria prudente ter cautela ao conceder acesso a dados pessoais e ao baixar aplicativos móveis.
Fonte: TechCrunch
*️⃣ Link da fonte: