😊DigitalDanceDaily
Notícias Exibir por tópico AI? Jogos de Vídeo iPhone Android Apple Google Microsoft Hardware
😊DigitalDanceDaily

Contents

A chocante verdade sobre os gerenciadores de senhas do Android que roubam suas credenciais!

   733 words   4 minutes 

Uma divulgação recente feita por um grupo de investigadores revelou um método para explorar uma vulnerabilidade presente nos aplicativos de gerenciamento de senhas predominantes utilizados por dispositivos Android, resultando em acesso não autorizado a informações confidenciais. Esta revelação é preocupante e sublinha a importância de manter a vigilância no que diz respeito às medidas de segurança cibernética.

Os aplicativos de gerenciamento de senhas ganharam popularidade significativa entre os indivíduos que dependem deles para proteger suas credenciais de login em vários dispositivos, incluindo computadores e telefones celulares. Essas ferramentas versáteis oferecem um meio eficiente de gerar e armazenar senhas robustas e distintas para diversas plataformas online usadas com frequência pelos usuários. Apesar da sua utilização predominante, é importante reconhecer que estes programas utilitários podem ser suscetíveis a falhas de segurança, com novas vulnerabilidades a serem identificadas em eventos como a recente conferência Black Hat realizada em Londres de 4 a 7 de dezembro de 2023.

AutoSpill: uma técnica para explorar a falha do gerenciador de senhas

Durante um evento, um grupo de pesquisadores indianos do Instituto Internacional de Tecnologia da Informação em Hyderabad revelou o desenvolvimento de um método conhecido como AutoSpill, que pode extrair credenciais de login de vários gerenciadores de senhas utilizados em dispositivos Android. Esta abordagem inovadora aproveita uma vulnerabilidade descoberta existente entre dois componentes de software comumente empregados em sistemas Android-especificamente, o preenchimento automático de formulários online em navegadores e aplicativos, juntamente com a capacidade de exibir conteúdo da web diretamente em aplicativos através do uso de WebView, um componente proeminente da interface de programação de aplicativos (API).

/images/39488164.png © Black Hat/Instituto Internacional de Tecnologia da Informação Hyderabad

Estas duas capacidades revelam-se particularmente práticas no dia a dia, permitindo-lhe preencher rapidamente os seus dados de identificação em diferentes aplicações, sem ter que fazer malabarismos manuais com o gestor. senha e o navegador da Internet. Porém, é justamente entre o componente WebView **** e o formulário de login que os pesquisadores detectaram um vazamento de dados, permitindo que um aplicativo recuperasse as credenciais do usuário. A equipe de pesquisa publicou uma apresentação muito clara e educativa, explicando os mecanismos por trás dessa falha e o método para explorá-la. Esta vulnerabilidade parece-lhes ainda mais preocupante porque, ao contrário de outras, a sua exploração não requer necessariamente a execução de código JavaScript para funcionar, o que torna particularmente difícil a sua detecção em aplicações que podem ser descarregadas da PlayStore.

AutoSpill: 7 gerenciadores de senhas populares afetados

Os investigadores realizaram uma avaliação da metodologia AutoSpill em uma seleção de sete aplicativos de gerenciamento de senhas altamente prevalentes e amplamente utilizados para dispositivos Android. Por meio de testes, observou-se que cinco desses sete, que incluem 1Password, LastPass, Enpass, Keepass2Android e Keeper, demonstraram suscetibilidade à abordagem AutoSpill sem exigir qualquer forma de injeção de código JavaScript, resultando na divulgação não autorizada de nomes de usuários e senhas. durante o processo de preenchimento automático das credenciais de login. Por outro lado, nem o Google Smart Lock nem o Dashlane pareceram ter sido afetados por esta iteração específica do ataque. No entanto, quando a injeção de código JavaScript foi introduzida como parte do ataque, todos os sete gerenciadores tornaram-se vulneráveis ​​ao método AutoSpill.

/images/39488165.png © Black Hat/Instituto Internacional de Tecnologia da Informação Hyderabad

Ao descobrir o problema, a equipe investigativa comunicou prontamente seus resultados aos fabricantes das ferramentas de gerenciamento de senhas afetadas, fornecendo um conjunto de sugestões para melhorar o desempenho do produto e mitigar a divulgação de identificadores durante as operações de preenchimento automático. De acordo com relatórios do Bleeping Computer, prevê-se que os desenvolvedores de software lançarão em breve atualizações de segurança para resolver esta vulnerabilidade.

Enquanto aguardamos soluções para os problemas em questão, seria imprudente sucumbir à histeria e abandonar a utilização das soluções de gestão de palavras-passe acima mencionadas. Por outro lado, não existe nenhuma prova convincente que substancie a exploração activa desta vulnerabilidade percebida por entidades malévolas. Em contraste, as vantagens associadas à implementação de um gestor de palavras-passe, relativas à segurança cibernética individual, são inegavelmente mais substanciais do que os potenciais perigos encontrados. Portanto, é imprescindível manter o conhecimento constante dos aplicativos instalados no dispositivo móvel e atualizá-los prontamente sempre que tais melhorias forem apresentadas pelo sistema operacional.

*️⃣ Link da fonte:

the Black Hat 2023 , [uma equipe de pesquisadores indianos do Instituto Internacional de Tecnologia da Informação em Hyderabad](https://www.blackhat.com/eu-23/briefings/schedule/index.html# autospill-zero-effort-credential-stealing-from-mobile-password-managers-34420) , uma apresentação muito clara e educativa, Bleeping Computer ,

Updated on 2023-12-12
Back | Home