研究人員在黑帽歐洲會議上介紹了他們的發現。他們表明,大多數Android密碼管理器都容易受到他們稱為“自動填充”的攻擊。他們還提出了解決問題的解決方案。
Android密碼管理器中的瑕疵
在自動填充過程中使用帳戶識別信息飛行,這已經設法從海得拉巴國際信息技術研究所中找到了安全研究人員。據他們說,大多數Android的密碼管理器都容易受到自動的影響,而不必注入JavaScript。
許多Android應用程序都使用WebView要顯示內容而不必在手機或平板電腦上打開默認的Web瀏覽器。密碼管理人員使用此相同的系統自動輸入用戶帳戶的標識信息。例如,當您連接到Google,Apple,Facebook或Microsoft帳戶時,這就是這種情況。
根據海得拉巴研究人員的說法,可以利用此過程的弱點來捕獲自動填充的識別信息。 Android無法應用或明確定義自動處理數據安全的責任的缺陷。一個可能導致惡意第三方應用程序攻擊期間洩漏或捕獲的問題。
有關五個申請
在進行測試之後最受歡迎的密碼管理器在Android 10、11和12上操作,七個應用中的五個被確定為容易受到自動填充的攻擊:1Password 7.9.4,LastPass 5.11.0.9519,Enpass 6.8.2.666,門將16.4.3.1048和keepass2and C.09c-r0。
就他們而言,Google Smart Lock和Dashlane似乎並不擔心,因為它們使用了自動填充的差異方法。因此,除非已經使用了JavaScript注入方法,否則他們沒有披露對主機應用程序敏感的數據。
研究人員與有關密碼管理人員以及Android安全團隊分享了這些結果以及他們的建議。受到質疑易怒的計算機,有關公司的公司認真對待這些信息,並宣布採取這些措施來部署解決方案並避免剝削這種缺陷。就其部分而言,Google在確保執行必要的同時很好地總結了情況:
我們建議第三方密碼管理人員對輸入密碼的位置敏感,並且我們有很好的網絡瀏覽量實踐,建議我們向所有密碼管理人員實施。 Android為密碼管理人員提供了必要的上下文,以區分本地視圖和WebViews,並確定WebView是否未鏈接到該住宿應用程序。
例如,當使用Google密碼管理器在Android上自動輸入時,如果用戶輸入Google確定不屬於託管應用程序的域的密碼,則會通知用戶,並且僅在適當的字段中告知密碼。 Google通過WebView實現服務器端保護。
🔴不要錯過任何01net新聞,請關注我們Google新聞等WhatsApp。
來源 : 黑帽歐洲2023
