AutoSpill ranjivost pogađa Android uređaje
AutoSpill ranjivost pogađa Android uređaje, odnosno utiče na način na koji menadžeri lozinki na Android uređajima rukuju operacijama automatskog popunjavanja. Sigurnosni istraživači International Institute of Information Technology (IIIT) su u svojem istraživanju pokazali da je većina menadžera lozinki za Android operativni sistem ranjivo na AutoSpill napad.
UVOD
Menadžeri lozinki postali su veoma važni za korisnike pametnih telefona, jer pružaju visok nivo pogodnosti korisnicima za popunjavanje informacija na internet stranici ili u aplikaciji umjesto da sve otkucaju. Pored toga, nema potrebe da korisnici pamte mnogo različitih lozinki naloga i korisničkih imena.
Moderni mobilni operativni sistemi kao što je Android, olakšavaju radno okruženje za automatsko popunjavanje širom sistema kako bi omogućili automatsko popunjavanje i u pregledačima i u aplikacijama. Sa druge strane, mobilni operativni sistemi omogućavaju aplikacijama da direktno realistično prikazuju internet sadržaj preko WebView kontrola što sprečava preusmjeravanje korisnika na glavni pregledač i poboljšava besprijekorno korisničko iskustvo.
Sigurnosni istraživači su stavili fokus na uobičajeni scenario gdje internet stranica učitava mobilnu aplikaciju uz pomoć WebView kontrola. To znači da kada korisnik otvori na internetu vezu koja bi trebala da otvori servis na internetu koji korisnik ima instaliran kao aplikaciju (npr. Skype ili Gmail), u takvoj situaciji aplikacija treće strane pokreće odgovarajuću stranicu pomoću WebView kontrola.
Tokom svog istraživanja sigurnosni istraživači predstavili novu ranjivost koja je nazvana AutoSpill, koja ima mogućnost da izvrši krađu akreditiva korisnika iz menadžera lozinki tokom procesa automatskog popunjavanja na stranici za prijavu unutar aplikacije. Do toga dolazi jer AutoSpill ranjivost narušava Android bezbjedni proces automatskog popunjavanja.
Utvrđeno je da je većina najboljih Android menadžera lozinki ranjiva na AutoSpill napad, čak i bez korištenja JavaScript injekcija. Uz korištenje JavaScript injekcija menadžera lozinki svi su ranjivi.
AUTOSPILL RANJIVOST
AutoSpill ranjivost je bezbjednosni propust koji utiče na način na koji menadžeri lozinki na Android uređajima rukuju operacijama automatskog popunjavanja. Obično, kada se korisnik prijavi na uslugu, menadžer lozinki automatski popunjava akreditive. Ovaj proces bi trebalo da bude bezbjedan, međutim istraživači su otkrili da zbog nedostatka striktne primjene bezbjednosnih mjera od strane Android operativnog sistema, osjetljive informacije mogu biti preuzete od strane zlonamjernih aplikacija.
Funkcionisanje
Menadžeri lozinki obično koriste WebView komponentu koja im omogućava da prikazuju internet sadržaj unutar aplikacije. To je kao pretraživač unutar aplikacije. Kada se koristi funkcija automatskog popunjavanja, menadžer lozinki koristi ovaj WebView da unese akreditive u obrasce za prijavu.
Problem nas kada zlonamjerna aplikacija imitira stranicu za prijavu kako bi prevarila uslugu automatskog popunjavanja da otkrije informacije za prijavu. Ovo se može dogoditi čak i bez potrebe za složenim tehnikama kao što je JavaScript injekcija, koju napadači često koriste za krađu informacija. Konkretno, problem AutoSpill ranjivosti proizilazi iz neuspjeha Android operativnog sistema da sprovede ili jasno definiše odgovornost za bezbjedno rukovanje automatski popunjenim podacima, što može dovesti do njihovog curenja ili hvatanja od strane zlonamjerne aplikacije na uređaju.
UTICAJ AUTOSPILL RANJIVOSTI
Sigurnosni istraživači su ovu ranjivost testirali sa menadžerima lozinki na Android verzijama 10, 11 i 12 operativnog sistema i pronašli da su menadžeri lozinki 1Password v7.9.4, LastPass v5.11.0.9519, Enpass v6.8.2.666, Keeper v16.4.3.1048 i Keepass2Android v1.09c-r0 podložni napadu zbog radnog okruženja za automatsko popunjavanje akreditiva.
Google Smart Lock v13.30.8.26 i DashLane v6.2221.3 menadžeri lozinki koriste drugačiji pristup procesu automatskog popunjavanja korisničkih akreditiva i oni ne odaju korisničke podatke ako nije korištena JavaScript injekcija.
Ovo ne znači da su ostali menadžeri lozinki bezbjedni, pošto su se sigurnosni istraživači fokusirali samo na ovih sedam menadžera lozinki i Android operativni sistem. Postoji objektivna vjerovatnoća da i drugi menadžeri lozinki imaju ovaj problem.
“Android programeri koriste WebView na različite načine, što uključuje hostovanje stranica za prijavu za sopstvene usluge u svojim aplikacijama. Ovaj problem je povezan sa načinom na koji menadžeri lozinki koriste API-je za automatsko popunjavanje prilikom interakcije sa WebView-om. Preporučujemo da menadžeri lozinki nezavisnih proizvođača budu osjetljivi na to gdje se lozinke unose, a mi imamo najbolje prakse za WebView koje preporučujemo da svi menadžeri lozinki primjene. Android obezbjeđuje menadžerima lozinki potreban kontekst za razlikovanje između izvornih prikaza i WebView-a, kao i da li WebView koji se učitava nije povezan sa aplikacijom za hostovanje. Na primer, kada koristite Google menadžer lozinki za automatsko popunjavanje na Android-u, korisnici su upozoreni ako unose lozinku za domen za koji Google utvrdi da možda nije u vlasništvu aplikacije za hostovanje, a lozinka se popunjava samo u odgovarajućem polju. Google implementira zaštitu na strani servera za prijavljivanje preko WebView-a.
Korisnici uvijek treba da vode računa o bezbjednosti aplikacija koje koriste i da se postaraju da koriste menadžere lozinki koji primjenjuju najbolje bezbjednosne prakse. Korisnici takođe treba da iskoriste bezbjednosnu zaštitu koju Android podrazumijevano obezbjeđuje, kao što je Google Play zaštita na uređajima sa Google Play uslugama.”
– Google –
ZAŠTITA
Napadač može biti uspješan u iskorištavanju AutoSpill ranjivosti samo ako je korisnik na WebView u u okviru nepoznate ili zlonamjerne aplikacije, odnosno kada zlonamjerna aplikacija imitira stranicu za prijavu kako bi prevarila uslugu automatskog popunjavanja da otkrije informacije za prijavu.
Korisnici bi trebalo da razmotre onemogućavanje funkcija automatskog popunjavanja u okviru svojih Android menadžera lozinki dok se ne objavi zakrpa ili ažuriranje koje rješava ovu ranjivost. Globalno gledano u prošlost, menadžeri lozinki su bili pomalo nepouzdani u pristupu automatskom popunjavanju za prijavu, tako da je korisnicima možda najbolja opcija stari dobri metod kopiraj i zalijepi.
Korisnici Android uređaja treba da budu oprezni i redovno ažuriraju svoje operativne sisteme i aplikacije kako bi bili sigurni da imaju najnovije bezbjednosne ispravke.