Como aplicativos Android maliciosos estão roubando suas senhas com a técnica AutoSpill!
-Gerenciamento de senhas
Durante a conferência Black Hat Europe que acontece esta semana, Ankit Gangwal (Instituto Internacional de Tecnologia da Informação, IIIT) e seus alunos, Shubham Singh e Abhijeet Srivastava, relataram a descoberta de uma vulnerabilidade chamada “ AutoSpill ” que pode causar divulgação das credenciais pessoais dos usuários Android.
O principal gerenciador de senhas para Android conta com o componente WebView , integrado no nível do sistema operacional. WebView é um componente de software que permite incorporar conteúdo da Web em um aplicativo móvel. Ele fornece um navegador incorporado em um aplicativo, permitindo que os desenvolvedores visualizem páginas da web ou conteúdo diretamente na interface do aplicativo, sem a necessidade de iniciar um navegador separado.
O que é o ataque AutoSpill e como funciona
Quando um aplicativo Android carrega uma página de login usando WebView, os gerenciadores de senhas podem ficar confusos por não reconhecerem o local correto para inserir as senhas. informações de login salvas anteriormente pelo usuário. Esse comportamento pode fazer com que dados confidenciais, como nomes de usuário e senhas, sejam inseridos em campos nativos do aplicativo subjacente.
“Digamos que você tente acessar seu aplicativo de música favorito por meio de seu dispositivo móvel e use o’Login via Google ou Facebook'”, disse Gangwal, da equipe de pesquisa. “Se um gerenciador de senhas for invocado para preencher automaticamente as credenciais, o ideal é que ele faça isso apenas nas páginas do Google ou do Facebook. Porém, a operação de preenchimento automático realizada pelo gerenciador de senhas, poderia expor as credenciais ao aplicativo subjacente “. E isso absolutamente não deveria acontecer porque significaria entregar as senhas do Google, Facebook ou outras plataformas a terceiros não autorizados.
10 gerenciadores de senhas para Android vulneráveis ao ataque AutoSpill
Gangwal confirma que os dez principais gerenciadores de senhas utilizáveis em dispositivos Android foram considerados vulneráveis ao AutoSpill. Depois de descobrir o problema, ele e sua equipe imediatamente tomaram medidas para entrar em contato com os desenvolvedores de software. Eles acontecem? Ou eles não receberam resposta ou os desenvolvedores transferiram toda a responsabilidade para o Android.
Um dos poucos produtos que demonstrou colaboração máxima, garantindo uma resolução oportuna do problema em questão, é o 1Password.
O risco é que aplicativos maliciosos possam obter credenciais de usuário sem lançar ataques de phishing ou usar subterfúgios específicos. Aplicativos desenvolvidos para roubar credenciais arquivos pessoais dos usuários podem até permanecer na Play Store por meses e meses, dificultando muito a revelação de seu comportamento malicioso. E, desta forma, a probabilidade de atingir um grande número de utilizadores desatentos é elevada.
Os autores da descoberta observam que os gerenciadores de senhas poderiam mitigar riscos de ataque simplesmente associando o campo para inserção de credenciais (nome de usuário e senha) ao único nome de domínio ao qual tais dados se referem.
Gangwal, porém, sugere que a substituição de senhas por passkey, com base nas especificações da FIDO Alliance e no padrão WebAuthn do W3C, poderia ser a solução definitiva. A passkey , na verdade, pressupõe consentimento explícito para cada aplicação ou serviço online que a utiliza.
Crédito da imagem de abertura: iStock.com/Fabio Príncipe
barra lateral inferior relacionada 300
*️⃣ Link da fonte: