Top.Mail.Ru
Connect with us

Hi, what are you looking for?

Компьютеры и гаджеты

Менеджеры паролей из-за бага Android «сливают» пользовательские данные.

Менеджеры паролей из-за бага Android «сливают» пользовательские данные.

Менеджеры паролей из-за бага Android «сливают» пользовательские данные.

Специалисты Международного института информационных технологий IIIT Hyderabad рассказали на конференции по компьютерной безопасности Black Hat Europe об уязвимости в функции автозаполнения на Android, из-за чего менеджеры паролей непреднамеренно раскрывают пользовательские данные.
Уязвимость под названием «AutoSpill» заключается в том, что когда приложение на Android загружает страницу входа в WebView, менеджеры паролей могут «дезориентироваться» в том, куда им следует отправить пользовательские данные для входа, передав их в поля авторизации запущенного приложения. Это происходит из-за того, что веб-движок WebView позволяет разработчикам отображать веб-контент в приложении, не запуская веб-браузер, а в это время генерируется запрос на автозаполнение.
«Предположим, вы пытаетесь войти в своё любимое музыкальное приложение на своём мобильном устройстве и используете опцию «Войти с помощью Google или Facebook*». Музыкальное приложение откроет внутри себя страницу входа в Google или Facebook* через WebView. Когда менеджер паролей вызывается для автозаполнения учётных данных, в идеале он должен автоматически заполнять только загруженную в WebView страницу Google или Facebook. Но мы обнаружили, что в этом случае менеджер паролей может случайно раскрыть учётные данные базовому приложению, в котором происходит авторизация», — объяснили обнаружившие уязвимость эксперты изданию TechCrunch.
Другими словами, разработчики стороннего приложения, в котором выполняется авторизация через Google, могут получить доступ к логину и паролю пользователя от его Google-аккаунта.
Специалисты протестировали несколько самых популярных менеджеров паролей, включая 1Password, LastPass, Keeper и Enpass, на разных устройствах Android, обнаружив в большинстве случаев вероятность утечки данных при отключённой JavaScript-инъекции. При активации этой функции уязвимость работала абсолютно во всех проверенных приложениях.
Разработчики 1Password уже занимаются устранением уязвимости AutoSpill и вскоре выпустят соответствующее обновление. Представители Keeper заявили, что это проблема операционной системы Android, поэтому решением должна заниматься Google. В последней пока никак не отреагировали на сообщения. Тем временем исследователи изучают, есть ли аналогичная проблема на iOS.
* Продукт компании Meta, признанной экстремистской организацией в России

Менеджеры паролей из-за бага Android «сливают» пользовательские данные.Менеджеры паролей из-за бага Android «сливают» пользовательские данные. Специалисты Международного института информационных технологий IIIT Hyderabad рассказали на конференции по компьютерной

.

 

Читайте также:

  • Google объявила о ребрендинге своего искусственного интеллекта Bard в Gemini

    Google объявила о ребрендинге своего искусственного…

  • Санкции снова коснулись приложений: Mir Pay исключен из Google Play

    Санкции снова коснулись приложений: Mir Pay исключен…

  • Apple закрывает доступ к iMessage для Android: мечта Beeper Mini о кроссплатформенности разбита. О печальную реальность.

    Apple закрывает доступ к iMessage для Android: мечта…

  • Apple заподозрили в препятствовании работы аналога iMessage на Android. Приложение Beeper Mini на Android для отправки СМС в iMessage перестало работать.

    Apple заподозрили в препятствовании работы аналога…

  • Microsoft представляет Copilot: ИИ-помощник нового уровня для Android

    Microsoft представляет Copilot: ИИ-помощник нового…

  • Пользователи Android за год загрузили 600 миллионов вирусов

    Пользователи Android за год загрузили 600 миллионов вирусов