研究人员在黑帽欧洲会议上展示了他们的发现。他们表明,大多数 Android 密码管理器都容易受到他们称为“AutoSpill”的攻击。他们还提出了解决问题的方案。
Android 密码管理器的一个缺陷
海得拉巴国际信息技术研究所的安全研究人员已经成功地在自动填充过程中窃取帐户凭据。据他们称,大多数 Android 密码管理器都容易受到 AutoSpill 的攻击,而无需注入 JavaScript。
许多Android应用程序使用WebView无需打开手机或平板电脑的默认网络浏览器即可查看内容。密码管理器使用同一系统自动输入用户帐户的凭据。例如,当您连接到 Google、Apple、Facebook 或 Microsoft 帐户时就会出现这种情况。
海得拉巴研究人员表示,可以利用此过程中的弱点来捕获自动填充的凭据。该缺陷源自 Android 无法强制执行或明确定义处理自动填充数据安全性的责任。在恶意第三方应用程序攻击期间可能导致泄漏或捕获的问题。
受影响的五个应用程序
进行测试后最受欢迎的密码管理器在运行 Android 10、11 和 12 的应用中,七分之五的应用已被确定容易受到 AutoSpill 的攻击:1Password 7.9.4、LastPass 5.11.0.9519、Enpass 6.8.2.666、Keeper 16.4.3.1048 和 Keepass2Android 1.09c-r0。
就 Google Smart Lock 和 Dashlane 而言,它们似乎没有受到影响,因为它们使用不同的自动填充方法。因此,他们不会向主机应用程序泄露敏感数据,除非使用 JavaScript 注入方法。
研究人员向相关密码管理器以及 Android 安全团队分享了这些发现以及他们的建议。提问者电脑发出蜂鸣声,有关公司认真对待这一信息,并宣布他们正在采取措施部署补丁并避免利用此类缺陷。就谷歌而言,它很好地总结了情况,同时确保它做了必要的事情:
我们建议第三方密码管理器对密码的输入位置保持敏感,并且我们拥有建议所有密码管理器实施的 WebView 最佳实践。 Android 为密码管理器提供了区分本机视图和 WebView 所需的上下文,以及确定正在加载的 WebView 是否与托管应用程序无关。
例如,在 Android 上使用 Google 密码管理器进行自动填充时,如果用户输入 Google 确定不属于应用程序托管的域的密码,则系统会通知用户,并且该密码仅在相应的字段中输入。 Google 通过 WebView 对连接实施服务器端保护。
来源 : 2023 年欧洲黑帽大会
