Eine Reihe beliebter mobiler Passwort-Manager geben aufgrund einer Sicherheitslücke in der Funktion zum automatischen Ausfüllen von Android-Apps versehentlich Benutzeranmeldeinformationen preis.
Laut Universitätsforschern des IIIT Hyderabad, die die Schwachstelle entdeckten und ihre Forschungsergebnisse diese Woche bei Black Hat Europe präsentierten, kann die Schwachstelle mit dem Namen „AutoSpill“ die gespeicherten Anmeldeinformationen von Benutzern von mobilen Passwort-Managern preisgeben, indem sie den sicheren Autofill-Mechanismus von Android umgeht.
Die Forscher Ankit Gangwal, Shubham Singh und Abhijeet Srivastava haben herausgefunden, dass, wenn eine Android-App eine Anmeldeseite in WebView lädt, die vorinstallierte Engine von Google, mit der Entwickler Webinhalte in der App anzeigen können, ohne einen Webbrowser zu starten, und eine automatische Ausfüllung vorhanden ist Wenn eine Anfrage generiert wird, können Passwort-Manager „desorientiert“ darüber werden, wohin sie die Anmeldeinformationen des Benutzers zielen sollen, und stattdessen ihre Anmeldeinformationen den nativen Feldern der zugrunde liegenden App zugänglich machen, sagten sie.
„Angenommen, Sie versuchen, sich auf Ihrem Mobilgerät bei Ihrer Lieblingsmusik-App anzumelden und nutzen die Option „Anmeldung über Google oder Facebook“. „Die Musik-App öffnet über WebView eine Google- oder Facebook-Anmeldeseite in sich selbst“, erklärte Gangwal gegenüber Tech vor ihrer Black-Hat-Präsentation am Mittwoch.
„Wenn der Passwort-Manager zum automatischen Ausfüllen der Anmeldeinformationen aufgerufen wird, sollte er im Idealfall nur die geladene Google- oder Facebook-Seite automatisch ausfüllen. Wir haben jedoch festgestellt, dass der Vorgang zum automatischen Ausfüllen die Anmeldeinformationen versehentlich der Basis-App preisgeben könnte.“
Gangwall weist darauf hin, dass die Auswirkungen dieser Sicherheitslücke, insbesondere in einem Szenario, in dem die Basis-App bösartig ist, erheblich sind. Er fügte hinzu: „Auch ohne Phishing kann jede bösartige App, die Sie auffordert, sich über eine andere Website wie Google oder Facebook anzumelden, automatisch auf vertrauliche Informationen zugreifen.“
Die Forscher testeten die AutoSpill-Schwachstelle mit einigen der beliebtesten Passwort-Manager, darunter 1Password, LastPass, Keeper und Enpass, auf neuen und aktuellen Android-Geräten. Sie stellten fest, dass die meisten Apps selbst bei deaktivierter JavaScript-Injection anfällig für den Verlust von Anmeldedaten waren. Wenn die JavaScript-Injection aktiviert war, waren alle Passwort-Manager anfällig für ihre AutoSpill-Schwachstelle.
Gangwal sagt, er habe Google und die betroffenen Passwort-Manager auf den Fehler aufmerksam gemacht.
Pedro Canahuati, Chief Technology Officer von 1Password, sagte gegenüber Tech, dass das Unternehmen AutoSpill identifiziert habe und an einer Lösung arbeite. „Während der Fix unsere Sicherheitslage weiter stärkt, wurde die Funktion zum automatischen Ausfüllen von 1Password so konzipiert, dass der Benutzer explizite Maßnahmen ergreifen muss“, sagte Canahuati. „Das Update bietet zusätzlichen Schutz, indem es verhindert, dass native Felder mit Anmeldeinformationen gefüllt werden, die nur für Androids WebView bestimmt sind.“
Craig Lurey, CTO von Keeper, sagte in einer mit Tech geteilten Bemerkung, dass das Unternehmen über eine potenzielle Sicherheitslücke informiert wurde, sagte jedoch nicht, ob es Korrekturen vorgenommen habe. „Wir haben vom Forscher ein Video angefordert, um das gemeldete Problem zu veranschaulichen. Basierend auf unserer Analyse kamen wir zu dem Schluss, dass der Forscher zunächst eine bösartige Anwendung installiert und anschließend eine Aufforderung von Keeper akzeptiert hatte, die Zuordnung der bösartigen Anwendung zu einem Keeper-Passwortdatensatz zu erzwingen“, sagte Lurey.
Keeper sagte, dass es „Vorkehrungen gibt, um Benutzer davor zu schützen, Anmeldeinformationen automatisch in eine nicht vertrauenswürdige Anwendung oder eine Website einzugeben, die nicht ausdrücklich vom Benutzer autorisiert wurde“, und empfahl dem Forscher, seinen Bericht an Google zu senden, „da er sich speziell auf Android bezieht.“ Plattform.“
Google und Enpass antworteten nicht auf die Fragen von Tech. LastPass-Sprecherin Elizabeth Bassler äußerte sich bis Redaktionsschluss nicht dazu.
Gangwal teilt Tech mit, dass die Forscher derzeit die Möglichkeit untersuchen, dass ein Angreifer möglicherweise Anmeldeinformationen aus der App für WebView extrahieren könnte. Das Team untersucht außerdem, ob die Schwachstelle auf iOS reproduziert werden kann.