AutoSpill 攻击:从 Android 密码管理器窃取凭据
2023-12-11 10:22:6 Author: hackernews.cc(查看原文) 阅读量:18 收藏

安全研究人员开发了一种新的攻击,他们将其命名为 AutoSpill,在自动填充操作期间窃取 Android 上的帐户凭据。

12d93731-737d-4ef0-94a4-a86400b1de94

在黑帽欧洲安全会议上的一次演讲中,海得拉巴国际信息技术研究所 (IIIT) 的研究人员表示,他们的测试表明,即使没有 JavaScript 注入,大多数 Android 密码管理器容易受到 AutoSpill 的攻击。

AutoSpill的工作原理

Android 应用程序通常使用 WebView 控件来呈现 Web 内容,例如应用程序内的登录页面,而不是将用户重定向到主浏览器,这在小屏幕设备上会是一种更麻烦的体验。

当应用程序加载 Apple、Facebook、Microsoft 或 Google 等服务的登录页面时,Android 上的密码管理器使用该平台的 WebView 框架自动输入用户的帐户凭据。

583d3d80-5983-4a2e-b663-a5bf1010fdda

使用 Microsoft 帐户登录大学门户

研究人员表示,即使没有 JavaScript 注入,也可以利用此过程中的弱点来捕获调用应用程序上自动填充的凭据。

研究人员表示,如果启用 JavaScript 注入,Android 上的所有密码管理器都容易受到 AutoSpill 攻击。

43c3f1cb-78b5-46f7-9579-df39a31ceb77

Android自动填充管理的内部结构

具体来说,AutoSpill 问题源于 Android 未能强制执行或明确定义安全处理自动填充数据的责任,这可能导致数据泄露或被主机应用程序捕获。

640

自动填充服务的流程

在攻击场景中,提供登录表单的恶意应用程序可以捕获用户的凭据,而不会留下任何泄露的迹象。有关 AutoSpill 攻击的其他技术细节可在Black Hat Europe 演示文稿中的研究人员幻灯片中找到。

有关 AutoSpill 攻击的更多详细信息可以在本文档中找到,其中包含 BlackHat 演示文稿中的幻灯片。

影响和修复

研究人员在 Android 10、11和12上对一系列密码管理器进行了 AutoSpill 测试,发现 1Password 7.9.4、LastPass 5.11.0.9519、Enpass 6.8.2.666、Keeper 16.4.3.1048 和 Keepass2Android 1.09c-r0 容易受到由于使用 Android 的自动填充框架而导致的攻击。

Google Smart Lock 13.30.8.26 和 DashLane 6.2221.3在自动填充过程中采用了不同的技术方法。除非使用 JavaScript 注入,否则他们不会将敏感数据泄露给主机应用程序。

410652a0-0aa6-4df3-a110-b171d09010f3

测试结果:(U -用户名泄露),(P -密码泄露),(X -不起作用),(✓-免受 AutoSpill 影响)

研究人员向受影响的软件供应商和 Android 安全团队披露了他们的发现,并分享了他们解决该问题的建议。他们的报告被认为是有效的,但没有分享有关修复计划的细节。

BleepingComputer 已联系受 AutoSpill 影响的多家密码管理产品提供商以及 Google,询问他们解决该问题的计划,到目前为止我们收到了以下评论:

1Password发言人

许多人已经习惯使用自动填充来快速、轻松地输入他们的凭据。通过安装在用户设备上的恶意应用程序,黑客可能会引导用户无意中自动填充其凭据。AutoSpill 凸显了这个问题。

保证客户最重要数据的安全是 1Password 的首要任务。AutoSpill 的修复程序已确定,目前正在处理中。

虽然修复将进一步加强我们的安全态势,但 1Password 的自动填充功能旨在要求用户采取明确的操作。

此更新将通过防止本机字段填充仅适用于 Android WebView 的凭据来提供额外的保护。

LastPass发言人

2022年,我们通过 bug 赏金计划合作伙伴 Bugcrowd 与 Gangwal 博士进行了接触。我们分析了他提交的调查结果,发现由于利用它所需的机制,它是一个低风险漏洞。

这里需要注意的是,此漏洞需要有能力和机会在目标设备上安装恶意应用程序,这将表明完全受到攻击或能够在目标设备上执行代码。

在收到 Gangwal 博士的发现之前,当应用程序检测到利用该漏洞的尝试时,LastPass 已经通过产品内弹出警告采取了缓解措施。分析结果后,我们在弹出窗口中添加了更多信息性措辞。

我们向 Gangwal 博士确认了这一更新,但没有收到任何对我们更新的确认。

Craig Lurey, Keeper Security首席技术官兼联合创始人

2022年5月31日,Keeper 收到了研究人员关于潜在漏洞的报告。我们要求研究人员提供视频来演示所报告的问题。

Keeper 具有适当的保护措施,可以防止用户自动将凭据填充到不受信任的应用程序或未经用户明确授权的站点。

在 Android 平台上,Keeper 在尝试将凭据自动填充到 Android 应用程序或网站时会提示用户。在填写任何信息之前,系统会要求用户确认应用程序与 Keeper 密码记录的关联。

Keeper 始终建议个人对他们安装的应用程序保持谨慎和警惕,并且只应安装来自受信任的应用程序商店(例如 Google Play 商店)发布的 Android 应用程序。

Google发言人

Android 开发人员以多种方式使用 WebView,其中包括在他们的应用程序中托管他们自己的服务的登录页面。此问题与密码管理器在与 WebView 交互时如何利用自动填充 API 有关。

我们建议第三方密码管理器对密码输入位置保持敏感,并且我们建议所有密码管理器实施 WebView 最佳实践。

当在 Android 上使用 Google 密码管理器进行自动填充时,如果用户输入 Google 确定可能不属于托管应用程序的域的密码,并且该密码仅在正确的字段中填写,则会向用户发出警告。Google 通过 WebView 实施服务器端登录保护。

转自会杀毒的单反狗,原文链接https://mp.weixin.qq.com/s/Lt5ME759SkZfBnx6tjiEsw

封面来源于网络,如有侵权请联系删除


文章来源: https://hackernews.cc/archives/47770
如有侵权请联系:admin#unsafe.sh