Pesquisadores do Instituto Internacional de Tecnologia da Informação em Hyderabad descobriram uma vulnerabilidade significativa no sistema de preenchimento automático de vários gerenciadores de senhas móveis para dispositivos Android. A falha, chamada “AutoSpill“, representa um risco para as credenciais do usuário ao direcionar incorretamente onde as senhas são preenchidas automaticamente nos aplicativos, potencialmente concedendo acesso não autorizado a informações confidenciais.
Explicação técnica da falha do AutoSpill
Quando um aplicativo Android utiliza WebView – um componente para exibir conteúdo da web dentro de um aplicativo – uma solicitação de preenchimento automático pode ser concluída erroneamente pelo gerenciador de senhas. Especificamente, durante os casos em que os usuários tentam fazer login por meio de um serviço de terceiros, como Google ou Facebook, em outro aplicativo, o gerenciador de senhas pode colocar injetar detalhes de login nos campos nativos do aplicativo, em vez de apenas nos campos de terceiros. página de login. Consequentemente, esse problema pode expor as credenciais do usuário se o aplicativo base for considerado malicioso.
Ankit Gangwal, junto com seus colegas pesquisadores Shubham Singh e Abhijeet Srivastava, articularam que essa vulnerabilidade contorna a segurança pretendida. mecanismos do recurso de preenchimento automático do Android. Eles destacaram o risco desse mau funcionamento, especialmente quando o aplicativo base que solicita credenciais de login tem a intenção de explorar dados.==”>
Esforços de resposta e mitigação do setor
Após a descoberta, a equipe informou imediatamente ao Google e aos desenvolvedores sobre os gerenciadores de senhas afetados. Segundo o TechCrunch Pedro Canahuati, CTO da 1Password, comentou a gravidade da vulnerabilidade e garantiu que estão formulando uma solução para o AutoSpill. Canahuati destacou que a atualização do 1Password incluirá medidas que evitam esse tipo de manipulação incorreta de credenciais.
O CTO da Keeper, Craig Lurey, reconheceu a comunicação dos pesquisadores e compartilhou que o problema parecia surgir de um aplicativo malicioso vinculado indevidamente ao registro de senha do Keeper.. A Keeper afirma que já implementou defesas contra a associação forçada a aplicativos e sites não autorizados, o que implica que um ataque exigiria autorização explícita do usuário.
Representantes do LastPass indicaram que integraram preventivamente um sistema de alerta em seu aplicativo. para alertar os usuários sobre solicitações suspeitas de preenchimento automático, que já foi atualizado para fornecer informações mais claras.
No momento do relatório, o Google e o Enpass não haviam emitido declarações sobre a falha. A equipe de pesquisa continua investigando se a vulnerabilidade do AutoSpill se estende ao iOS e a outros vetores de ataque em potencial. Todos os usuários de gerenciadores de senhas do Android são aconselhados a ficar atentos às atualizações dos provedores de aplicativos e a ter cuidado com as solicitações de preenchimento automático em aplicativos de terceiros.
