Odkrita ranljivost priljubljenih aplikacij za upravljanje z gesli za Android
Uporabljate upravitelje gesel v sistemu Android? Potem preberite članek, v katerem govorimo o nedavno odkriti ranljivosti teh aplikacij.
Raziskovalci IIIT (International Institute of Information Technology) so na nedavni konferenci Black Hat Europe predstavili odkrito ranljivost nekaterih zelo priljubljenih in pogosto uporabljenih aplikacij za upravljanje z gesli za Android.
Gre za t.i. AutoSpill ranljivost, zaradi katere lahko zlonamerne aplikacije pridobijo vaše podatke pri uporabi aplikacij za upravljanje gesel v vaši Android napravi. Ranljivost se nanaša na Androidovo funkcijo samodejnega izpolnjevanja podatkov (ang. autofill funkcija) in zlonamernim aplikacijam omogoča krajo uporabniških podatkov med postopkom samodejnega izpolnjevanja, tudi brez napada z vrivanjem JavaScript-a (ang. JavaScript injection). Autospill namreč omogoča napadalcem, da obidejo varnostne mehanizme funkcije samodejnega izpolnjevanja podatkov na napravah Android.
Ranljivost je bila odkrita pri aplikacijah 1Password, LastPass, Enpass, Keeper in Keepass2Android. Na drugi strani pa aplikaciji Google Smart Lock in Dashlane, ki uporabljata drugačen tehnični pristop pri uporabi funkcije za samodejno izpolnjevanje podatkov, tej ranljivosti nista izpostavljeni (razen v primeru, ko je bil uporabljen napad z vrivanjem JavaScript-a).
Opomba: če pride do napada z vrivanjem JavaScript-a so z Autospill ranljivostjo ogroženi vsi Androidovi upravljavci gesel.
Autospill ranljivost
O autoSpill ranljivosti govorimo, ko Androidova aplikacija “pokliče” stran za prijavo s pomočjo spletnega pogleda za Android (ang. WebView). Spletni pogled je Googlova vnaprej nameščena sistemska komponenta, ki aplikacijam Android omogoča prikaz spletne vsebine. Uporabnik si torej lahko ogleda spletne vsebine brez odpiranja spletnega brskalnika. Pri tem se vključi funkcija samodejnega izpolnjevanja in zahteva poverilnice za prijavo. Težava nastane, ker se te poverilnice ne izpolnijo samo v polja znotraj spletnega pogleda, ampak tudi v morebitna vnosna polja, ki jih zlonamerna aplikacija podtakne poleg spletnega pogleda. To omogoča zlonamerni aplikaciji, da dobi dostop do uporabniškega imena in gesla, ki ste ga v tistem trenutku izpolnili v spletnem pogledu.
Kaj lahko storimo sami?
Ne prenehajte uporabljati upraviteljev gesel, če to pomeni uporabo manj varnih gesel ali istih gesel za različne račune. Predvsem je pomembno, da ste pri nameščanju katerihkoli aplikacij na vaš mobilni telefon zelo previdni. Slednje velja predvsem za uporabnike sistema Android, saj v Trgovini Play še vedno najdemo nekatere zlonamerne aplikacije. Nadalje, ne zaupajte aplikacijam, ki zahtevajo uporabniška imena in gesla za račune, ki niso povezani s temi aplikacijami. Najbolj pomembno pa je, da spremljate varnostna navodila, ki jih izdaja Google oziroma proizvajalec določene aplikacije in seveda redno posodabljate vse aplikacije.
Povzeto po:
- Forbes: Warnings As 1Password, DashLane, LastPass And 3 Others Leak Passwords,
- ZDNET: Six of the most popular Android password managers are leaking data in
- The Times of India: IIIT-Hyderabad researchers show how hackers can steal account details via Android password managers, Google responds]
Želiš govoriti z nami? Pridružite se nam na Koofr subredditu.