Un certain nombre de gestionnaires de mots de passe mobiles populaires divulguent involontairement les informations d’identification des utilisateurs en raison d’une vulnérabilité dans la fonction de remplissage automatique des applications Android.
La vulnérabilité, baptisée « AutoSpill », pourrait exposer les informations d’identification enregistrées par les utilisateurs à partir des gestionnaires de mots de passe mobiles en contournant le mécanisme de saisie automatique sécurisé d’Android, selon des chercheurs universitaires de l’IIIT Hyderabad, qui ont découvert la vulnérabilité et présenté leurs recherches dans Black Hat Europe cette semaine.
Les chercheurs Ankit Gangwal, Shubham Singh et Abhijit Srivastava ont découvert que lorsqu’une application Android charge une page de connexion dans une WebView, les gestionnaires de mots de passe peuvent être « confus » quant à l’endroit où ils doivent cibler les informations de connexion d’un utilisateur et afficher à la place leurs informations d’identification. données. Ils ont dit les champs d’origine. En effet, WebView, le moteur préinstallé de Google, permet aux développeurs d’afficher le contenu Web dans l’application sans lancer le navigateur Web, et une demande de remplissage automatique est générée.
« Disons que vous essayez de vous connecter à votre application musicale préférée sur votre appareil mobile et que vous utilisez l’option « Connectez-vous avec Google ou Facebook ». L’application musicale ouvrira une page de connexion Google ou Facebook en elle-même via une WebView. « , a expliqué Gangwal à TechCrunch avant la présentation privée. À Black Hat mercredi.
« Lorsqu’un gestionnaire de mots de passe est appelé pour remplir automatiquement les informations d’identification, il est préférable de remplir automatiquement uniquement la page Google ou Facebook chargée. Mais nous avons constaté que le processus de saisie automatique peut exposer par erreur les informations d’identification à l’application sous-jacente. «
Gangwal souligne que les conséquences de cette vulnérabilité, en particulier dans un scénario où l’application sous-jacente est malveillante, sont importantes. « Même sans phishing, toute application malveillante vous demandant de vous connecter via un autre site, comme Google ou Facebook, peut accéder automatiquement à des informations sensibles », a-t-il ajouté.
Les chercheurs ont testé la vulnérabilité AutoSpill à l’aide de certains des gestionnaires de mots de passe les plus populaires, notamment 1Password, LastPass, Keeper et Enpass, sur des appareils Android nouveaux et mis à jour. Ils ont constaté que la plupart des applications étaient vulnérables aux fuites d’informations d’identification, même si l’injection JavaScript était désactivée. Lorsque l’injection JavaScript était activée, tous les gestionnaires de mots de passe étaient vulnérables à leur vulnérabilité AutoSpill.
Gangwal affirme avoir alerté Google et les gestionnaires de mots de passe concernés de la faille.
Pedro Canahuate, directeur de la technologie chez 1Password, a déclaré à TechCrunch que la société avait identifié et travaillait sur un correctif pour AutoSpill. « Bien que le correctif renforce notre posture de sécurité, la fonctionnalité de remplissage automatique de 1Password est conçue pour obliger l’utilisateur à entreprendre une action explicite », a déclaré Canahwati. « La mise à jour offrira une protection supplémentaire en empêchant les champs natifs d’être remplis avec des informations d’identification destinées uniquement à Android WebView. »
Craig Lurey, directeur technique de Keeper, a déclaré dans des remarques partagées avec TechCrunch que la société avait été informée de la vulnérabilité potentielle, mais il n’a pas précisé si elle avait apporté des correctifs. « Nous avons demandé une vidéo au chercheur pour illustrer le problème signalé. Sur la base de notre analyse, nous avons déterminé que le chercheur avait d’abord installé une application malveillante, puis accepté une invite de Keeper pour forcer le lien de l’application malveillante à l’historique des mots de passe de Keeper », a déclaré Lowry. .
Keeper a déclaré qu’il avait « mis en place des garanties pour protéger les utilisateurs contre le remplissage automatique d’informations d’identification dans une application ou un site non fiable non explicitement autorisé par l’utilisateur », et a recommandé au chercheur de soumettre son rapport à Google « puisqu’il concerne spécifiquement la plate-forme Android ».
Google et Enpass n’ont pas répondu aux questions de TechCrunch. Alex Cox, directeur de l’équipe de renseignement, d’atténuation et d’escalade des menaces de LastPass, a déclaré à TechCrunch qu’avant d’être informé des conclusions des chercheurs, LastPass avait déjà mis en place des mesures d’atténuation via un avertissement contextuel dans le produit lorsque l’application détectait une erreur. message. Essayer de profiter de l’exploitation. « Après avoir analysé les résultats, nous avons ajouté un langage plus informatif à la fenêtre contextuelle », a déclaré Cox.
Gangwal a déclaré à TechCrunch que les chercheurs explorent actuellement la possibilité qu’un attaquant exfiltre les informations d’identification de l’application vers une WebView. L’équipe étudie également si la vulnérabilité pourrait être répliquée sur iOS.