近年来,密码管理器已成为在一个地方存储和保护所有密码的流行方式。在科技公司能够完全消除对密码的需求之前,这些应用程序通常是跟踪您必须记住的数十甚至数百个密码的最佳方式。但尽管它们很方便,但使用它们仍然存在风险,正如来自IIIT海得拉巴的研究人员通过开发一种新的攻击方式所表明的那样。
在BlackHatEurope2023的演讲中,海得拉巴国际信息技术研究所的研究人员展示了他们如何使用一种名为AutoSpill的新颖攻击来窃取密码管理器保存的凭据。
正如研究人员所解释的,许多Android应用程序使用WebView控件在移动应用程序中加载网页。这些控件通常用于打开超链接或登录页面。事实证明,Android上的许多顶级密码管理器都使用WebView在用户加载Apple、Facebook、Google和其他平台的登录页面时自动填写用户密码。AutoSpill能够利用此过程窃取数据。
“AutoSpill违反了Android的安全自动填充流程,”研究人员解释道。“我们发现大多数顶级Android产品经理都容易受到AutoSpill的影响;即使没有JavaScript注入。启用JavaScript注入后,所有这些都被发现容易受到攻击。”
BleepingComputer阐述了他们的报告,指出Android未能强制执行或定义安全处理自动填充数据的任何责任。因此,数据可能会泄露,或者流氓应用程序可以相对轻松地捕获数据。
研究人员在运行Android10、Android11和Android12的设备上的流行密码管理器上使用了AutoSpill。1Password、LastPass、Enpass、Keeper和Keepass2Android都容易受到攻击。研究人员还能够渗透GoogleSmartLock和DashLane,但他们必须启用JavaScript注入。
研究人员表示,他们向应用程序开发人员以及Android安全团队披露了他们的发现。他们指出,谷歌和几个密码管理器应用程序接受了他们的工作作为有效问题,并开始致力于修复。
几位开发者也回应了BleepingComputer就调查结果发表评论的请求。1Password首席技术官PedroCanahuati表示:
许多人已经习惯使用自动填充来快速、轻松地输入他们的凭据。通过安装在用户设备上的恶意应用程序,黑客可能会引导用户无意中自动填充其凭据。AutoSpill凸显了这个问题。
保证客户最重要数据的安全是1Password的首要任务。AutoSpill的修复程序已确定,目前正在处理中。
虽然修复将进一步加强我们的安全态势,但1Password的自动填充功能旨在要求用户采取明确的操作。
此更新将通过防止本机字段填充仅适用于AndroidWebView的凭据来提供额外的保护。
即使这个漏洞不再困扰最新版本的Android或相关应用程序,这也再次提醒我们要注意移动安全。