محققان مؤسسه بینالمللی فناوری اطلاعات (IIIT) حیدرآباد یک حمله جدید به نام AutoSpill را در طی ارائهای در کنفرانس Black Hat Europe 2023 فاش کردند.
AutoSpill مدیران رمزهای عبور محبوب اندروید را هدف قرار می دهد و به طور بالقوه نام های کاربری و رمزهای عبور را در معرض دید قرار می دهد.
این حمله از چارچوب WebView اندروید استفاده میکند که معمولاً توسط سرویسهایی مانند مایکروسافت، گوگل و اپل برای باز کردن صفحات وب در برنامهها استفاده میشود و به کاربران اجازه میدهد بدون استفاده از مرورگر اصلی به سرعت وارد شوند.
مدیران رمز عبور اندروید همچنین از چارچوب WebView برای وارد کردن خودکار اعتبار حساب در صفحات ورود استفاده می کنند.
هنگامی که یک برنامه از کاربران می خواهد با استفاده از WebView وارد سیستم شوند، از این فرآیند سوء استفاده می کند و امکان رهگیری و سرقت نام های کاربری و رمز عبور را فراهم می کند.
محققان این آسیبپذیری را به فقدان دستورالعملهای واضح در اندروید در مورد مدیریت دادههای تکمیل خودکار نسبت میدهند، که راهی را برای عوامل تهدید فراهم میکند تا اطلاعات حساس را بهطور محتاطانه به دست آورند.
این مطالعه آزمایشهایی را بر روی دستگاههای دارای اندروید ۱۰، ۱۱ و ۱۲ انجام داد و آسیبپذیریهایی را در مدیران رمز عبور محبوب مانند ۱Password، Keeper، Enpass، Keepass2Android و LastPass بدون نیاز به تزریق جاوا اسکریپت آشکار کرد.
با این حال، Google Smart Lock و DashLane به دلیل استفاده از مکانیزم متفاوت، ثابت کردند که از AutoSpill مصون هستند. با این وجود، در صورت استفاده از تزریق جاوا اسکریپت، تمام مدیران رمز عبور ذکر شده می توانند مورد سوء استفاده قرار گیرند.
محققان به طور مسئولانه یافته های خود را با تیم امنیتی اندروید و توسعه دهندگان مدیریت رمز عبور به اشتراک گذاشتند و هر دو طرف اعتبار آسیب پذیری های کشف شده را تایید کردند. هدف این همکاری رسیدگی و اصلاح مشکلات شناسایی شده برای افزایش امنیت مدیران رمز عبور اندروید است.
(با ورودی های نمایندگی ها)
منبع: https://www.firstpost.com/tech/hackers-can-steal-data-from-android-password-managers-show-iiit-hyderabad-researchers-13498482.html