Proteja suas contas com AutoSpill e Gerenciador de senhas em dispositivos Android!
Durante a recente iteração da prestigiada conferência de cibersegurança, a Black Hat Europe, uma equipa de conceituados investigadores do Instituto Internacional de Tecnologia da Informação (IIIT), situado na movimentada cidade de Hyderabad, revelou o seu mais recente avanço, o Autospill. Esta técnica inovadora é capaz de roubar sub-repticiamente informações de login confidenciais enquanto os usuários interagem com várias plataformas online através de seus dispositivos Android. Através de uma série abrangente de testes rigorosos, os pesquisadores determinaram que a maioria dos aplicativos populares de gerenciamento de senhas utilizados pelos usuários do Android são suscetíveis a essa forma insidiosa de ataque cibernético.
Em certas circunstâncias, software nefasto pode apresentar uma interface de login enganosa que captura com êxito informações confidenciais de usuários desavisados, sem exibir quaisquer sinais de adulteração ou suspeita. Muitas vezes, os programas baseados em Android incorporam componentes WebView nos casos em que é necessário exibir conteúdo da web dentro do próprio aplicativo, em vez de direcionar os usuários ao utilitário de navegação principal. Da mesma forma, as soluções de gerenciamento de senhas projetadas especificamente para dispositivos Android utilizam a funcionalidade WebView ao preencher automaticamente os detalhes da conta durante o processo de carregamento de uma página de login.
Devido à falta de diretrizes rígidas e fiscalização por parte do Android em relação à proteção adequada das informações geradas automaticamente, existe um potencial para acesso não autorizado e violações de dados. Os pesquisadores notaram que essas falhas de segurança podem ser exploradas para obter detalhes de login confidenciais, incluindo senhas, independentemente de se utilizar ou não a metodologia de injeção de JavaScript, mesmo quando alguns aplicativos de gerenciamento de senhas para Android podem ser vítimas de ataques AutoSpill.
A equipe de pesquisa conduziu testes usando AutoSpill em senhas de vários gerentes nas versões 10, 11 e 12 do Android. Os resultados indicaram que certos aplicativos de gerenciamento de senhas, como 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4. 3.1048 e Keepass2Android 1.09c-r0 eram vulneráveis devido à dependência da estrutura de autocompilação do Android. Por outro lado, o Google Smart Lock 13.30.8.26 e o Dashlane 6.2221.3 utilizaram uma técnica diferente para preenchimento automatizado, o que não resultou
Os investigadores divulgaram suas descobertas aos criadores dos aplicativos de gerenciamento de senhas examinados durante o estudo, bem como ao grupo de trabalho de segurança do Android. Eles também propuseram medidas corretivas para resolver o problema em questão. Tanto o Enpass quanto o 1Password reconheceram a vulnerabilidade e se comprometeram a desenvolver uma solução na forma de um patch, enquanto o LastPass e o Keeper Security minimizaram sua gravidade, apontando que o ataque AutoSpill requer a instalação de um aplicativo malévolo, que é algo que sua respectiva senha os gerentes alertam os usuários sobre a utilização da função de preenchimento automático em aplicativos não seguros.
O Google comunicou diretrizes aos desenvolvedores de seu gerenciador de senhas, enfatizando a importância de distinguir entre webviews nativos dentro de um aplicativo e aqueles que não estão relacionados ao aplicativo que está sendo usado. Além disso, os usuários do recurso de preenchimento automático do Google em dispositivos Android receberão um aviso se tentarem inserir informações de login em um domínio suspeito de ser fraudulento.
*️⃣ Link da fonte:
[eles demonstraram AutoSpill](https://www.blackhat.com/eu-23/briefings/schedule/index.html# autospill-zero-effort-credential-stealing-from-mobile-password-managers-34420), OS pesquisadores testaram o AutoSpill,