{"id":5825,"date":"2023-12-16T17:29:42","date_gmt":"2023-12-16T16:29:42","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5825"},"modified":"2023-12-16T17:29:42","modified_gmt":"2023-12-16T16:29:42","slug":"autospill-ranjivost-pogadja-android-uredjaje","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/12\/16\/autospill-ranjivost-pogadja-android-uredjaje\/","title":{"rendered":"AutoSpill ranjivost poga\u0111a Android ure\u0111aje"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>AutoSpill<\/em> ranjivost poga\u0111a <em>Android<\/em> ure\u0111aje, odnosno uti\u010de na na\u010din na koji menad\u017eeri lozinki na <em>Android<\/em> ure\u0111ajima rukuju operacijama automatskog popunjavanja. Sigurnosni istra\u017eiva\u010di <em>International Institute of Information Technology<\/em> (<em>IIIT<\/em>) su <a href=\"https:\/\/www.documentcloud.org\/documents\/24202397-eu-23-gangwal-autospill-zero-effort-credential-stealing\" target=\"_blank\" rel=\"noopener\">u svojem istra\u017eivanju pokazali<\/a> da je ve\u0107ina menad\u017eera lozinki za <em>Android<\/em> operativni sistem ranjivo na <em>AutoSpill<\/em> napad.<\/span><\/p>\n<div id=\"attachment_5828\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-5828\" class=\"size-full wp-image-5828\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/AutoSpill.jpg\" alt=\"AutoSpill\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/AutoSpill.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/AutoSpill-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/AutoSpill-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/AutoSpill-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/AutoSpill-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/AutoSpill-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/AutoSpill-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-5828\" class=\"wp-caption-text\"><em>AutoSpill ranjivost poga\u0111a Android ure\u0111aje; Source: Bing Image Creator<\/em><\/p><\/div>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_84 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/16\/autospill-ranjivost-pogadja-android-uredjaje\/#UVOD\" >UVOD<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/16\/autospill-ranjivost-pogadja-android-uredjaje\/#AUTOSPILL_RANJIVOST\" >AUTOSPILL RANJIVOST<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/16\/autospill-ranjivost-pogadja-android-uredjaje\/#Funkcionisanje\" >Funkcionisanje<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/16\/autospill-ranjivost-pogadja-android-uredjaje\/#UTICAJ_AUTOSPILL_RANJIVOSTI\" >UTICAJ AUTOSPILL RANJIVOSTI<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/16\/autospill-ranjivost-pogadja-android-uredjaje\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"UVOD\"><\/span><span style=\"font-size: 14pt;\"><strong>UVOD<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Menad\u017eeri lozinki postali su veoma va\u017eni za korisnike pametnih telefona, jer pru\u017eaju visok nivo pogodnosti korisnicima za popunjavanje informacija na internet stranici ili u aplikaciji umjesto da sve otkucaju. Pored toga, nema potrebe da korisnici pamte mnogo razli\u010ditih <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinki<\/a> naloga i korisni\u010dkih imena.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Moderni mobilni operativni sistemi kao \u0161to je <em>Android<\/em>, olak\u0161avaju radno okru\u017eenje za automatsko popunjavanje \u0161irom sistema kako bi omogu\u0107ili automatsko popunjavanje i u pregleda\u010dima i u aplikacijama. Sa druge strane, mobilni operativni sistemi omogu\u0107avaju aplikacijama da direktno realisti\u010dno prikazuju internet sadr\u017eaj preko <em>WebView<\/em> kontrola \u0161to spre\u010dava preusmjeravanje korisnika na glavni pregleda\u010d i pobolj\u0161ava besprijekorno korisni\u010dko iskustvo.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su stavili fokus na uobi\u010dajeni scenario gdje internet stranica u\u010ditava mobilnu aplikaciju uz pomo\u0107 <em>WebView<\/em> kontrola. To zna\u010di da kada korisnik otvori na internetu vezu koja bi trebala da otvori servis na internetu koji korisnik ima instaliran kao aplikaciju (npr. <em>Skype<\/em> ili <em>Gmail<\/em>), u takvoj situaciji aplikacija tre\u0107e strane pokre\u0107e odgovaraju\u0107u stranicu pomo\u0107u <em>WebView<\/em> kontrola.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Tokom svog istra\u017eivanja sigurnosni istra\u017eiva\u010di predstavili novu ranjivost koja je nazvana <em>AutoSpill<\/em>, koja ima mogu\u0107nost da izvr\u0161i kra\u0111u akreditiva korisnika iz menad\u017eera lozinki tokom procesa automatskog popunjavanja na stranici za prijavu unutar aplikacije. Do toga dolazi jer <em>AutoSpill<\/em> ranjivost naru\u0161ava <em>Android<\/em> bezbjedni proces automatskog popunjavanja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Utvr\u0111eno je da je ve\u0107ina najboljih <em>Android<\/em> menad\u017eera lozinki ranjiva na <em>AutoSpill<\/em> napad, \u010dak i bez kori\u0161tenja <em>JavaScript<\/em> injekcija. Uz kori\u0161tenje <em>JavaScript<\/em> injekcija menad\u017eera lozinki svi su ranjivi.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"AUTOSPILL_RANJIVOST\"><\/span><span style=\"font-size: 14pt;\"><strong><em>AUTOSPILL<\/em> RANJIVOST<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>AutoSpill<\/em> ranjivost je bezbjednosni propust koji uti\u010de na na\u010din na koji menad\u017eeri lozinki na <em>Android<\/em> ure\u0111ajima rukuju operacijama automatskog popunjavanja. Obi\u010dno, kada se korisnik prijavi na uslugu, menad\u017eer lozinki automatski popunjava akreditive. Ovaj proces bi trebalo da bude bezbjedan, me\u0111utim istra\u017eiva\u010di su otkrili da zbog nedostatka striktne primjene bezbjednosnih mjera od strane <em>Android <\/em>operativnog sistema, osjetljive informacije mogu biti preuzete od strane zlonamjernih aplikacija.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><span style=\"font-size: 14pt;\"><strong>Funkcionisanje<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Menad\u017eeri lozinki obi\u010dno koriste <em>WebView<\/em> komponentu koja im omogu\u0107ava da prikazuju internet sadr\u017eaj unutar aplikacije. To je kao pretra\u017eiva\u010d unutar aplikacije. Kada se koristi funkcija automatskog popunjavanja, menad\u017eer lozinki koristi ovaj <em>WebView<\/em> da unese akreditive u obrasce za prijavu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Problem nas kada zlonamjerna aplikacija imitira stranicu za prijavu kako bi prevarila uslugu automatskog popunjavanja da otkrije informacije za prijavu. Ovo se mo\u017ee dogoditi \u010dak i bez potrebe za slo\u017eenim tehnikama kao \u0161to je <em>JavaScript<\/em> injekcija, koju <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">napada\u010di<\/a> \u010desto koriste za kra\u0111u informacija. Konkretno, problem <em>AutoSpill<\/em> ranjivosti proizilazi iz neuspjeha <em>Android<\/em> operativnog sistema da sprovede ili jasno defini\u0161e odgovornost za bezbjedno rukovanje automatski popunjenim podacima, \u0161to mo\u017ee dovesti do njihovog curenja ili hvatanja od strane zlonamjerne aplikacije na ure\u0111aju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ_AUTOSPILL_RANJIVOSTI\"><\/span><span style=\"font-size: 14pt;\"><strong>UTICAJ <em>AUTOSPILL<\/em> RANJIVOSTI<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su ovu ranjivost testirali sa menad\u017eerima lozinki na <em>Android<\/em> verzijama 10, 11 i 12 operativnog sistema i prona\u0161li da su menad\u017eeri lozinki <em>1Password v7.9.4<\/em>, <em>LastPass v5.11.0.9519<\/em>, <em>Enpass v6.8.2.666<\/em>, <em>Keeper v16.4.3.1048<\/em> i <em>Keepass2Android v1.09c-r0<\/em> podlo\u017eni napadu zbog radnog okru\u017eenja za automatsko popunjavanje akreditiva.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Google Smart Lock v13.30.8.26<\/em> i <em>DashLane v6.2221.3<\/em> menad\u017eeri lozinki koriste druga\u010diji pristup procesu automatskog popunjavanja korisni\u010dkih akreditiva i oni ne odaju korisni\u010dke podatke ako nije kori\u0161tena <em>JavaScript<\/em> injekcija.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovo ne zna\u010di da su ostali menad\u017eeri lozinki bezbjedni, po\u0161to su se sigurnosni istra\u017eiva\u010di fokusirali samo na ovih sedam menad\u017eera lozinki i <em>Android<\/em> operativni sistem. Postoji objektivna vjerovatno\u0107a da i drugi menad\u017eeri lozinki imaju ovaj problem.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cAndroid programeri koriste WebView na razli\u010dite na\u010dine, \u0161to uklju\u010duje hostovanje stranica za prijavu za sopstvene usluge u svojim aplikacijama. Ovaj problem je povezan sa na\u010dinom na koji menad\u017eeri lozinki koriste API-je za automatsko popunjavanje prilikom interakcije sa WebView-om. Preporu\u010dujemo da menad\u017eeri lozinki nezavisnih proizvo\u0111a\u010da budu osjetljivi na to gdje se lozinke unose, a mi imamo najbolje prakse za WebView koje preporu\u010dujemo da svi menad\u017eeri lozinki primjene. Android obezbje\u0111uje menad\u017eerima lozinki potreban kontekst za razlikovanje izme\u0111u izvornih prikaza i WebView-a, kao i da li WebView koji se u\u010ditava nije povezan sa aplikacijom za hostovanje. Na primer, kada koristite Google menad\u017eer lozinki za automatsko popunjavanje na Android-u, korisnici su upozoreni ako unose lozinku za domen za koji Google utvrdi da mo\u017eda nije u vlasni\u0161tvu aplikacije za hostovanje, a lozinka se popunjava samo u odgovarajuc\u0301em polju. Google implementira za\u0161titu na strani servera za prijavljivanje preko WebView-a.<\/em><\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>Korisnici uvijek treba da vode ra\u010duna o bezbjednosti aplikacija koje koriste i da se postaraju da koriste menad\u017eere lozinki koji primjenjuju najbolje bezbjednosne prakse. Korisnici tako\u0111e treba da iskoriste bezbjednosnu za\u0161titu koju Android podrazumijevano obezbje\u0111uje, kao \u0161to je Google Play za\u0161tita na ure\u0111ajima sa Google Play uslugama.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><em>&#8211; <a href=\"https:\/\/arstechnica.com\/security\/2023\/12\/how-worried-should-we-be-about-the-autospill-credential-leak-in-android-password-managers\/3\/\" target=\"_blank\" rel=\"nofollow noopener\">Google<\/a> &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Napada\u010d mo\u017ee biti uspje\u0161an u iskori\u0161tavanju <em>AutoSpill<\/em> ranjivosti samo ako je korisnik na <em>WebView <\/em>u u okviru nepoznate ili zlonamjerne aplikacije, odnosno kada zlonamjerna aplikacija imitira stranicu za prijavu kako bi prevarila uslugu automatskog popunjavanja da otkrije informacije za prijavu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Korisnici bi trebalo da razmotre onemogu\u0107avanje funkcija automatskog popunjavanja u okviru svojih <em>Android<\/em> menad\u017eera lozinki dok se ne objavi zakrpa ili a\u017euriranje koje rje\u0161ava ovu ranjivost. Globalno gledano u pro\u0161lost, menad\u017eeri lozinki su bili pomalo nepouzdani u pristupu automatskom popunjavanju za prijavu, tako da je korisnicima mo\u017eda najbolja opcija stari dobri metod kopiraj i zalijepi.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Korisnici <em>Android<\/em> ure\u0111aja treba da budu oprezni i redovno a\u017euriraju svoje operativne sisteme i aplikacije kako bi bili sigurni da imaju najnovije bezbjednosne ispravke.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>AutoSpill ranjivost poga\u0111a Android ure\u0111aje, odnosno uti\u010de na na\u010din na koji menad\u017eeri lozinki na Android ure\u0111ajima rukuju operacijama automatskog popunjavanja. Sigurnosni istra\u017eiva\u010di International Institute of Information Technology (IIIT) su u svojem istra\u017eivanju pokazali da&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":5828,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[187,633,540,634,635],"class_list":["post-5825","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-android","tag-autospill","tag-password","tag-password-manager","tag-webview"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5825","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5825"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5825\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5828"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5825"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5825"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5825"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}