Niezwykle ciekawy, a przy tym zabójczo groźny atak na smartfony z Androidem opisali badacze z indyjskiego IIIT Hyderabad. Technika ta pozwala na kradzież haseł z większości popularnych menedżerów, takich jak 1Password, LastPass i wiele innych.
Co do zasady menedżer haseł stanowi bardzo sensowne rozwiązanie, pozwalając na ustawienie niezliczonej liczby skomplikowanych, a jednocześnie unikatowych kombinacji. Teoretycznie więc powinien gwarantować wysokie bezpieczeństwo, ale, jak wykazują badacze z IIIT Hyderabad, takie myślenie nie zawsze jest zgodne z prawdą.
Błąd występujący systemach Android 10, 11 oraz 12, w połączeniu z jednym z kilku popularnych narzędzi do przechowywania haseł, tj. 1Password, Keeper, Enpass, Keepass2Android i LastPass, ku zaskoczeniu, pozwala na kradzież dość łatwą poświadczeń – udowodniono.
U podstaw zamieszania ma stać WebView, czyli komponent systemu Android pozwalający na wyświetlanie stron internetowych w obrębie aplikacji, który akurat wspomniane menedżery wykorzystują do autouzupełniania formularzy.
Ale może też do dowolnych celów wykorzystać go każda inna aplikacja i to właśnie w opinii badaczy stanowi zasadniczy problem, gdyż mobilny system Google'a w żaden sposób nie izoluje danych autouzupełniania.
Dzięki temu napastnik może stworzyć aplikację szkodliwą, by przejąć dane z formularzy. I nie pomoże tu nawet szyfrowanie gromadzonych haseł, jako że dostęp do nich uzyskiwany jest już wtedy, gdy wpisywane są one czystym tekstem.
Zresztą, od razu przygotowano dowód koncepcji – atak AutoSpill. Dodajmy, że zadziałał on nie tylko w przypadku menedżerów już wymienionych, ale także Google Smart Lock i DashLane, tylko w tych dwóch ostatnich przypadkach wymagał jeszcze wstrzyknięcia określonego JavaScriptu.
Zespół zaprezentował efekty swojej pracy na konferencji Black Hat Europe 2023 w Las Vegas. Wprawdzie bez wskazania konkretnych rozwiązań, ale to raczej zrozumiałe z uwagi na troskę o wykorzystanie techniki przez przestępców. Detale za to dostali ponoć Google oraz producenci zagrożonych menedżerów, aby mogli wprowadzić niezbędne poprawki.
Badacze podają jeszcze tylko, że wszystkie firmy zgodnie przyznały im rację i obiecały szybką interwencję. Nie wiemy jednakowoż, kiedy zostaną wydane niezbędne poprawki.
Źródło zdjęć: Shutterstock
Źródło tekstu: Materiały prasowe, oprac. własne
