Jak bychom se měli obávat úniku přihlašovacích údajů „AutoSpill“ ve správcích hesel pro Android?

Možná jste již slyšeli o zranitelnosti zvané AutoSpill, která může uniknout přihlašovací údaje od kteréhokoli ze sedmi předních správců hesel pro Android. Hrozba, kterou představuje, je skutečná, ale je také omezená a snáze ji potlačit, než si většina tiskových zpráv dosud uvědomovala.

Tento FAQ se ponoří do mnoha nuancí, které ztěžují AutoSpill pro většinu lidí (včetně vás). Tento příspěvek by nebyl možný bez neocenitelné pomoci Alessandro OrtizJe to výzkumník, který v roce 2020 objevil podobnou bezpečnostní chybu v prohlížeči Chrome.

Otázka: Co je automatické rozlití?

A: Zatímco velká část tiskového pokrytí AutoSpill jej popisovala jako útok, je užitečné se na něj dívat jako na soubor nezabezpečeného chování, ke kterému dochází v operačním systému Android, když se přihlašovací údaje uložené ve správci hesel automaticky vyplní do aplikace nainstalované na přístroj. Toto nezabezpečené chování odhaluje přihlašovací údaje, které jsou automaticky vyplněny v aplikaci třetí strany, což může být téměř jakýkoli typ aplikace, pokud přijímá přihlašovací údaje pro přihlášení uživatele k účtu.

Mezi správce hesel, kteří jsou tak či onak ovlivněni, patří Google Smart Lock, Dashlane, 1Password, LastPass, Enpass, Keepass2Android a Keeper. Ostatní správci hesel mohou být také ovlivněni, protože výzkumníci, kteří identifikovali AutoSpill, omezili svůj dotaz na těchto sedm adres.

AutoSpill identifikovali výzkumníci Ankit Gangwal, Shubham Singh a Abhijeet Srivastava z Mezinárodního institutu informačních technologií v Hyderabadu v Indii. Prezentovali své poznatky minulý týden Na Black Hat Security Conference v Londýně.

Otázka: Pokud aplikace třetí strany umožňuje nebo vyžaduje, aby se uživatel přihlásil k účtu, proč je automatické vyplňování hesla ze správce hesel problémem?

A: Je to problém pouze v určitých scénářích. První je, když aplikace třetí strany umožňuje uživatelům přihlásit se k jednomu účtu pomocí přihlašovacích údajů pro jiný účet. Například stovky aplikací a webových stránek používají standard známý jako OAuth Poskytnout uživatelům snadné přihlašování ke svým účtům pomocí přihlašovacích údajů k účtu na webech, jako je Google, Facebook nebo Apple. Jednou z hlavních atrakcí těchto ujednání, známých jako delegování přístupu, je to, že aplikace nebo služba třetí strany nikdy nevidí přihlašovací údaje. AutoSpill má potenciál tuto základní záruku porušit.

Dalším způsobem, jak může škodlivá aplikace zneužít AutoSpill, je stáhnout obsah WebView z webu banky nebo jiné služby, u které má uživatel účet. Když škodlivá aplikace načte přihlašovací stránku důvěryhodného webu, bude uživatel požádán o zadání přihlašovacích údajů. Pokud uživatel souhlasí s výzvou k automatickému vyplňování, přihlašovací údaje budou zveřejněny nejen v části WebView škodlivé aplikace, ale také v nativním zobrazení aplikace (více o rozdílu mezi vlastnostmi WebView a nativním zobrazením za chvíli). V závislosti na použitém správci hesel může k tomuto toku dojít bez jakéhokoli varování.

Je těžké si představit realistické tvrzení, které by mohla škodlivá aplikace použít k oklamání uživatele, aby se přihlásil k účtu třetí strany, který nespravuje vývojář aplikace, a výzkumníci AutoSpill žádné neposkytli. Jednou z možností by mohla být škodlivá verze aplikace, která přenáší seznamy skladeb z jedné hudební služby do druhé. Legitimní aplikace, např FreeYourMusic nebo neděle, poskytující hodnotnou službu analýzou seznamu stop uložených v účtu pro jednu službu, jako je Apple Music, a poté vytvořením podobného seznamu stop pro účet v jiné službě, jako je Tidal. Aby tyto aplikace fungovaly podle potřeby, vyžadují přihlašovací údaje pro oba účty.

Dalším způsobem, jak může škodlivá aplikace zneužít AutoSpill, je vložení JavaScriptu do obsahu WebView, který zkopíruje přihlašovací údaje a odešle je útočníkovi. Tyto typy útoků byly již dříve známy a fungují v prostředích, která jsou daleko za těmi, které nabízí AutoSpill.

Co nebylo jasné z některých pokrytí AutoSpill je, že představuje hrozbu pouze v těchto omezených scénářích, a dokonce i tehdy odhaluje pouze jediné přihlašovací údaje, konkrétně ty, které jsou automaticky vyplněny. AutoSpill nepředstavuje hrozbu, když správce hesel automaticky vyplní heslo pro účet spravovaný vývojářem nebo službou odpovědnou za aplikaci třetí strany – například při automatickém vyplňování přihlašovacích údajů Gmail v oficiální aplikaci Gmail společnosti Google nebo přihlašovacích údajů pro Facebook na oficiálním Facebooku. Aplikace pro Android.