Android : Via AutoSpill Le gestionnaire de mots de passe fuite vos informations de connexions

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Avatar de l’utilisateur
Parisien_entraide
Messages : 17669
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Android : Via AutoSpill Le gestionnaire de mots de passe fuite vos informations de connexions

par Parisien_entraide »

2023-12-08_183757.png

Des chercheurs ont découvert que la majorité des principaux gestionnaires de mots de passe Android étaient vulnérables à AutoSpill, même sans injections JavaScript .
L'activation des injections JavaScript a exacerbé le problème, rendant tous les gestionnaires de mots de passe testés sensibles à la vulnérabilité


Un certain nombre de gestionnaires de mots de passe mobiles populaires divulguent par inadvertance les informations d'identification des utilisateurs en raison d'une vulnérabilité dans la fonctionnalité de saisie automatique des applications Android.

La vulnérabilité, baptisée « AutoSpill », peut exposer les informations d'identification enregistrées par les utilisateurs à partir des gestionnaires de mots de passe mobiles en contournant le mécanisme de saisie automatique sécurisé d'Android, selon des chercheurs universitaires de l'IIIT Hyderabad, qui ont découvert la vulnérabilité et présenté leurs recherches à Black Hat Europe cette semaine.

Les chercheurs Ankit Gangwal, Shubham Singh et Abhijeet Srivastava ont découvert que lorsqu'une application Android charge une page de connexion dans WebView, les gestionnaires de mots de passe peuvent être « désorientés » quant à l'endroit où ils doivent cibler les informations de connexion de l'utilisateur et exposer leurs informations d'identification aux applications sous-jacentes. champs indigènes, disaient-ils. En effet, WebView, le moteur préinstallé de Google, permet aux développeurs d'afficher du contenu Web dans l'application sans lancer de navigateur Web, et une requête de remplissage automatique est générée.

« Disons que vous essayez de vous connecter à votre application musicale préférée sur votre appareil mobile et que vous utilisez l'option « Connexion via Google ou Facebook ». L'application musicale ouvrira une page de connexion Google ou Facebook en elle-même via WebView », a expliqué Gangwal à TechCrunch avant leur présentation Black Hat mercredi.

«Lorsque le gestionnaire de mots de passe est invoqué pour remplir automatiquement les informations d'identification, idéalement, il devrait se remplir automatiquement uniquement dans la page Google ou Facebook qui a été chargée. Mais nous avons constaté que l’opération de remplissage automatique pouvait accidentellement exposer les informations d’identification à l’application de base.

Gangwal note que les conséquences de cette vulnérabilité, en particulier dans un scénario où l'application de base est malveillante, sont importantes. Il a ajouté : « Même sans phishing, toute application malveillante qui vous demande de vous connecter via un autre site, comme Google ou Facebook, peut accéder automatiquement à des informations sensibles. »

Les chercheurs ont testé la vulnérabilité AutoSpill à l'aide de certains des gestionnaires de mots de passe les plus populaires, notamment 1Password, LastPass, Keeper et Enpass, sur des appareils Android nouveaux et à jour. Ils ont constaté que la plupart des applications étaient vulnérables aux fuites d’informations d’identification, même si l’injection JavaScript était désactivée. Lorsque l'injection JavaScript était activée, tous les gestionnaires de mots de passe étaient sensibles à leur vulnérabilité AutoSpill.

Gangwal dit avoir alerté Google et les gestionnaires de mots de passe concernés de la faille.



POUR RESUMER

Le problème donc semble toucher quasiment tous les grands gestionnaires de mot de passe, de 1Password à LastPass en passant par Keeper et EnPass. Des messages d’alertes ont déjà été intégrés à certaines de ses applications, mais, le problème étant du côté de l’OS, il faudra attendre que Google corrige le bug directement.


Pedro Canahuati, directeur de la technologie de 1Password, a déclaré à TechCrunch que la société avait identifié et travaillait sur un correctif pour AutoSpill. "Bien que le correctif renforce encore notre posture de sécurité, la fonction de remplissage automatique de 1Password a été conçue pour obliger l'utilisateur à prendre des mesures explicites", a déclaré Canahuati. "La mise à jour fournira une protection supplémentaire en empêchant les champs natifs d'être remplis avec des informations d'identification uniquement destinées au WebView d'Android."

Le directeur technique de Keeper, Craig Lurey, a déclaré dans des remarques partagées avec TechCrunch que la société avait été informée d'une vulnérabilité potentielle, mais n'a pas précisé si elle avait apporté des correctifs. « Nous avons demandé une vidéo au chercheur pour démontrer le problème signalé. Sur la base de notre analyse, nous avons déterminé que le chercheur avait d'abord installé une application malveillante, puis accepté une invite de Keeper pour forcer l'association de l'application malveillante à un enregistrement de mot de passe Keeper », a déclaré Lurey.

Keeper a déclaré qu'il « met en place des garanties pour protéger les utilisateurs contre le remplissage automatique d'informations d'identification dans une application non fiable ou un site qui n'a pas été explicitement autorisé par l'utilisateur », et a recommandé au chercheur de soumettre son rapport à Google « car il est spécifiquement lié au système Android »."

Google et Enpass n'ont pas répondu aux questions de TechCrunch.

Alex Cox, directeur de l'équipe de renseignement, d'atténuation et d'escalade des menaces de LastPass, a déclaré à TechCrunch qu'avant d'être informé des conclusions des chercheurs, LastPass avait déjà mis en place une atténuation via un avertissement contextuel intégré au produit lorsque l'application détectait un tenter d’exploiter l’exploit. "
Après avoir analysé les résultats, nous avons ajouté une formulation plus informative dans la fenêtre contextuelle", a déclaré Cox.

Gangwal explique à TechCrunch que les chercheurs explorent actuellement la possibilité qu'un attaquant puisse extraire les informations d'identification de l'application vers WebView. L'équipe étudie également si la vulnérabilité peut être répliquée sur iOS.

Sources :
https://techcrunch.com/2023/12/06/your- ... edentials/
https://thecyberexpress.com/autospill-vulnerability/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Papiers / Articles »