Μεταφράζει η Βασιλική Κατσούλη
Ορισμένοι από τους δημοφιλείς διαχειριστές κωδικών πρόσβασης για κινητά, διαρρέουν κατά λάθος τα διαπιστευτήρια των χρηστών λόγω ευπάθειας στη λειτουργία αυτόματης συμπλήρωσης των εφαρμογών Android.
Η ευπάθεια, με την ονομασία “AutoSpill”, μπορεί να εκθέσει τα διαπιστευτήρια χρηστών τα οποία έχουν αποθηκευτεί από διαχειριστές κωδικών πρόσβασης για κινητά, παρακάμπτοντας τον ασφαλή μηχανισμό αυτόματης συμπλήρωσης του Android, σύμφωνα με πανεπιστημιακούς ερευνητές του IIIT Hyderabad, οι οποίοι ανακάλυψαν την ευπάθεια και παρουσίασαν την έρευνά τους στο Black Hat Europe αυτή την εβδομάδα.
Οι ερευνητές, Ankit Gangwal, Shubham Singh και Abhijeet Srivastava, διαπίστωσαν ότι όταν μια εφαρμογή Android φορτώνει μια σελίδα σύνδεσης στο WebView, οι διαχειριστές κωδικών πρόσβασης μπορούν να “αποπροσανατολιστούν” ως προς το πού θα πρέπει να κατευθύνουν τις πληροφορίες σύνδεσης του χρήστη και αντί αυτού να εκθέσουν τα διαπιστευτήριά τους στα εγγενή πεδία της υποκείμενης εφαρμογής, δήλωσαν. Αυτό συμβαίνει επειδή το WebView, η προεγκατεστημένη μηχανή από την Google, επιτρέπει στους προγραμματιστές να προβάλλουν διαδικτυακό περιεχόμενο εντός της εφαρμογής χωρίς την εκκίνηση ενός προγράμματος περιήγησης στο διαδίκτυο και έτσι δημιουργείται ένα αίτημα αυτόματης συμπλήρωσης.
“Ας πούμε ότι προσπαθείτε να συνδεθείτε στην αγαπημένη σας μουσική εφαρμογή στην κινητή σας συσκευή και χρησιμοποιείτε την επιλογή “Σύνδεση μέσω Google ή Facebook”. Η μουσική εφαρμογή θα ανοίξει μια σελίδα σύνδεσης στο Google ή το Facebook μέσω του WebView”, εξήγησε ο Gangwal στο TechCrunch πριν από την παρουσίαση του Black Hat την Τετάρτη.
“Όταν ο διαχειριστής κωδικών πρόσβασης καλείται να συμπληρώσει αυτόματα τα διαπιστευτήρια, ιδανικά, θα πρέπει να συμπληρώνει αυτόματα μόνο τη σελίδα της Google ή του Facebook που έχει φορτωθεί. Διαπιστώσαμε όμως ότι η λειτουργία αυτόματης συμπλήρωσης θα μπορούσε κατά λάθος να εκθέσει τα διαπιστευτήρια στη βασική εφαρμογή”.
Ο Gangwal σημειώνει ότι οι επιπτώσεις αυτής της ευπάθειας, ιδιαίτερα σε ένα σενάριο όπου η βασική εφαρμογή είναι κακόβουλη, είναι σημαντικές. Και πρόσθεσε: “Ακόμη και χωρίς phishing, κάθε κακόβουλη εφαρμογή που σας ζητά να συνδεθείτε μέσω άλλου ιστότοπου, όπως η Google ή το Facebook, μπορεί να αποκτήσει αυτόματα πρόσβαση σε ευαίσθητες πληροφορίες”.
Οι ερευνητές δοκίμασαν την ευπάθεια AutoSpill χρησιμοποιώντας μερικούς από τους πιο δημοφιλείς διαχειριστές κωδικών πρόσβασης, συμπεριλαμβανομένων των 1Password, LastPass, Keeper και Enpass, σε νέες και ενημερωμένες συσκευές Android. Διαπίστωσαν ότι οι περισσότερες εφαρμογές ήταν ευάλωτες στη διαρροή διαπιστευτηρίων, ακόμη και με απενεργοποιημένη την εισαγωγή JavaScript. Όταν η εισαγωγή JavaScript ήταν ενεργοποιημένη, όλοι οι διαχειριστές κωδικών πρόσβασης ήταν ευάλωτοι στην ευπάθειά τους AutoSpill.
Ο Gangwal λέει ότι ειδοποίησε την Google και τους επηρεαζόμενους διαχειριστές κωδικών πρόσβασης για το ελάττωμα.
Η Google δεν σχολίασε όταν επικοινωνήσαμε μαζί της πριν από τη δημοσίευση, αλλά αργότερα δήλωσε στο TechCrunch ότι η εταιρεία συνιστά στους διαχειριστές κωδικών πρόσβασης τρίτων “να είστε προσεκτικοί ως προς το πού εισάγεται τους κωδικούς πρόσβασης και εμείς έχουμε τις βέλτιστες πρακτικές WebView που συνιστούμε σε όλους τους διαχειριστές κωδικών πρόσβασης να εφαρμόζουν”, δήλωσε ο εκπρόσωπος της Google Ed Fernandez.
“Το Android παρέχει στους διαχειριστές κωδικών πρόσβασης το απαιτούμενο πλαίσιο για τη διάκριση μεταξύ εγγενών προβολών και WebViews, καθώς και για το αν το WebView που φορτώνεται δεν σχετίζεται με την εφαρμογή που φιλοξενεί. Για παράδειγμα, κατά τη χρήση του Google Password Manager για αυτόματη συμπλήρωση στο Android, οι χρήστες προειδοποιούνται εάν εισάγουν έναν κωδικό πρόσβασης για έναν τομέα που η Google θεωρεί πως μπορεί να μην ανήκει στην εφαρμογή φιλοξενίας και ο κωδικός πρόσβασης συμπληρώνεται μόνο στο κατάλληλο πεδίο. Η Google εφαρμόζει προστασία από την πλευρά του διακομιστή για τις συνδέσεις μέσω WebView”, σημείωσε ο εκπρόσωπος της Google.
Ο Επικεφαλής Τεχνολογίας της 1Password Pedro Canahuati δήλωσε στο TechCrunch ότι η εταιρεία έχει εντοπίσει και εργάζεται πάνω σε μια διόρθωση για το AutoSpill. “Ενώ η διόρθωση θα ενισχύσει περαιτέρω τη στάση ασφαλείας μας, η λειτουργία αυτόματης συμπλήρωσης του 1Password έχει σχεδιαστεί έτσι ώστε να απαιτεί από τον χρήστη να προβεί σε άμεση ενέργεια”, δήλωσε ο Canahuati. “Η ενημέρωση θα παρέχει πρόσθετη προστασία, εμποδίζοντας τη συμπλήρωση εγγενών πεδίων με διαπιστευτήρια που προορίζονται μόνο για το WebView του Android”.
Ο Προϊστάμενος Τεχνολογίας της Keeper, Craig Lurey, δήλωσε σε παρατηρήσεις που μοιράστηκε με το TechCrunch ότι η εταιρεία ενημερώθηκε για μια πιθανή ευπάθεια, αλλά δεν είπε αν έχει προβεί σε διορθώσεις. “Ζητήσαμε ένα βίντεο από τον ερευνητή για να επιδείξει το αναφερόμενο πρόβλημα. Με βάση την ανάλυσή μας, διαπιστώσαμε ότι ο ερευνητής είχε πρώτα εγκαταστήσει μια κακόβουλη εφαρμογή και στη συνέχεια, αποδέχθηκε μια προτροπή από το Keeper για να εξαναγκάσει τη συσχέτιση της κακόβουλης εφαρμογής με μια εγγραφή κωδικού πρόσβασης του Keeper”, δήλωσε ο Lurey.
Η Keeper ανέφερε ότι “διασφαλίζει την προστασία των χρηστών από την αυτόματη συμπλήρωση διαπιστευτηρίων σε μια μη αξιόπιστη εφαρμογή ή σε έναν ιστότοπο που δεν έχει εξουσιοδοτηθεί ρητά από τον χρήστη” και συνέστησε στον ερευνητή να υποβάλει την αναφορά του στην Google “δεδομένου ότι σχετίζεται συγκεκριμένα με την πλατφόρμα Android”.
Η Enpass δεν απάντησε στις ερωτήσεις του TechCrunch. Ο Alex Cox, διευθυντής της ομάδας πληροφοριών απειλών, μετριασμού και κλιμάκωσης της LastPass, δήλωσε στο TechCrunch ότι πριν ενημερωθεί για τα ευρήματα των ερευνητών, η LastPass είχε ήδη εφαρμόσει έναν μετριασμό μέσω μιας αναδυόμενης προειδοποίησης εντός του προϊόντος όταν η εφαρμογή εντόπιζε μια προσπάθεια εκμετάλλευσης. “Αφού αναλύσαμε τα ευρήματα, προσθέσαμε πιο ενημερωτική διατύπωση στο αναδυόμενο παράθυρο”, δήλωσε ο Cox.
Ο Gangwal λέει στο TechCrunch ότι οι ερευνητές διερευνούν τώρα τη δυνατότητα ενός εισβολέα να αποσπάσει ενδεχομένως διαπιστευτήρια από την εφαρμογή στο WebView. Η ομάδα διερευνά επίσης αν η ευπάθεια μπορεί να αναπαραχθεί στο iOS.
Πηγή:
Η εθελοντική ομάδα του CSI Institute, αποτελούμενη από εξειδικευμένους επιστήμονες όπως, ψυχολόγους, εγκληματολόγους, κοινωνιολόγους καθώς και τεχνικούς δικτύων & πληροφορικής, είναι κοντά σας παρέχοντας πληροφορία, ενημέρωση και γνώση μέσα από ποικίλα θέματα αρθρογραφίας.