اعتمادات الصورة: برايس دوربين / تك كرانش
يقوم عدد من مديري كلمات المرور المشهورين على الأجهزة المحمولة بتسريب بيانات اعتماد المستخدم عن غير قصد بسبب وجود ثغرة أمنية في وظيفة الملء التلقائي لتطبيقات Android.
يمكن للثغرة الأمنية، التي يطلق عليها اسم “AutoSpill”، كشف بيانات اعتماد المستخدمين المحفوظة من مديري كلمات المرور على الأجهزة المحمولة عن طريق تجاوز آلية الملء التلقائي الآمن لنظام Android، وفقًا لباحثين أكاديميين من IIIT Hyderabad، الذين اكتشفوا الثغرة الأمنية وقدموا أبحاثهم في Black Hat Europe هذا الأسبوع.
وجد الباحثون Ankit Gangwal وShubham Singh وAbhijeet Srivastava أنه عندما يقوم تطبيق Android بتحميل صفحة تسجيل دخول في WebView، يمكن أن يصبح مديرو كلمات المرور “مرتبكين” بشأن المكان الذي يجب عليهم فيه استهداف معلومات تسجيل الدخول الخاصة بالمستخدم وكشف بيانات اعتمادهم للتطبيقات الأساسية. قالوا الحقول الأصلية. في الواقع، يسمح WebView، محرك Google المثبت مسبقًا، للمطورين بعرض محتوى الويب في التطبيق دون تشغيل متصفح الويب، ويتم إنشاء استعلام الملء التلقائي.
“لنفترض أنك تحاول تسجيل الدخول إلى تطبيق الموسيقى المفضل لديك على جهازك المحمول وأنك تستخدم خيار “تسجيل الدخول عبر Google أو Facebook”. وقال جانجوال لـ TechCrunch قبل عرض Black Hat يوم الأربعاء: “سيفتح تطبيق الموسيقى صفحة تسجيل دخول إلى Google أو Facebook في حد ذاته عبر WebView”.
“عندما يتم استدعاء مدير كلمات المرور للملء التلقائي لبيانات الاعتماد، فمن الأفضل أن يقوم بالملء التلقائي فقط في صفحة Google أو Facebook التي تم تحميلها. لكننا وجدنا أن عملية الملء التلقائي قد تؤدي عن طريق الخطأ إلى كشف بيانات الاعتماد للتطبيق الأساسي.
ويشير جانجوال إلى أن عواقب هذه الثغرة الأمنية، خاصة في السيناريو الذي يكون فيه التطبيق الأساسي ضارًا، تكون كبيرة. وأضاف: “حتى بدون التصيد الاحتيالي، يمكن لأي تطبيق ضار يطلب منك تسجيل الدخول عبر موقع آخر، مثل جوجل أو فيسبوك، الوصول تلقائيًا إلى المعلومات الحساسة. »
اختبر الباحثون ثغرة AutoSpill باستخدام بعض برامج إدارة كلمات المرور الأكثر شيوعًا، بما في ذلك 1Password وLastPass وKeeper وEnpass، على أجهزة Android الجديدة والمحدثة. ووجدوا أن معظم التطبيقات كانت عرضة لتسريبات بيانات الاعتماد، حتى لو تم تعطيل حقن JavaScript. عندما تم تمكين حقن JavaScript، كان جميع مديري كلمات المرور عرضة لثغرة AutoSpill الخاصة بهم.
وتقول Gangwal إنها نبهت Google ومديري كلمات المرور المتأثرين بالخلل.
صرح بيدرو كاناهواتي، كبير مسؤولي التكنولوجيا في 1Password، لـ TechCrunch أن الشركة حددت وتعمل على إصلاح مشكلة AutoSpill. وقال كاناهواتي: “على الرغم من أن التصحيح يعزز وضعنا الأمني، فقد تم تصميم ميزة الملء التلقائي في 1Password لتطلب من المستخدم اتخاذ إجراء واضح”. “سيوفر التحديث حماية إضافية عن طريق منع ملء الحقول الأصلية ببيانات الاعتماد المخصصة فقط لعرض WebView الخاص بنظام Android.”
قال Keeper CTO Craig Lurey في تصريحات تمت مشاركتها مع TechCrunch أن الشركة على علم بوجود ثغرة أمنية محتملة، لكنه لم يذكر ما إذا كانت قد أجرت أي تصحيحات. “لقد طلبنا مقطع فيديو من الباحث لتوضيح المشكلة المبلغ عنها. وقال لوري: “بناءً على تحليلنا، قررنا أن الباحث قام أولاً بتثبيت تطبيق ضار ثم قبل مطالبة من Keeper لفرض ربط التطبيق الضار بسجل كلمة مرور Keeper”.
قال Keeper إنه “يضع ضمانات لحماية المستخدمين من الملء التلقائي لبيانات الاعتماد في تطبيق أو موقع غير موثوق به لم يتم التصريح به صراحةً من قبل المستخدم”، وأوصى بأن يقدم الباحث تقريره إلى Google “كما هو محدد على وجه التحديد”. المتعلقة بنظام أندرويد.” منصة.”
لم يرد Google وEnpass على أسئلة TechCrunch. صرح Alex Cox، مدير فريق استخبارات التهديدات والتخفيف والتصعيد في LastPass، لـ TechCrunch أنه قبل إبلاغه بنتائج الباحثين، كان LastPass قد نفذ بالفعل التخفيف من خلال نافذة تحذيرية منبثقة مدمجة في المنتج عندما اكتشف التطبيق محاولة للاستغلال. الاستغلال. وقال كوكس: “بعد تحليل النتائج، أضفنا المزيد من الصياغة الإعلامية إلى النافذة المنبثقة”.
أخبر جانجوال موقع TechCrunch أن الباحثين يستكشفون حاليًا إمكانية قيام المهاجم باستخراج بيانات اعتماد التطبيق إلى WebView. ويحقق الفريق أيضًا فيما إذا كان من الممكن تكرار الثغرة الأمنية على نظام التشغيل iOS.
“Social media addict. Zombie fanatic. Travel fanatic. Music geek. Bacon expert.”