Специалисты Международного института информационных технологий IIIT Hyderabad рассказали на конференции по компьютерной безопасности Black Hat Europe об уязвимости в функции автозаполнения на Android, из-за чего менеджеры паролей непреднамеренно раскрывают пользовательские данные.
Уязвимость под названием «AutoSpill» заключается в том, что когда приложение на Android загружает страницу входа в WebView, менеджеры паролей могут «дезориентироваться» в том, куда им следует отправить пользовательские данные для входа, передав их в поля авторизации запущенного приложения. Это происходит из-за того, что веб-движок WebView позволяет разработчикам отображать веб-контент в приложении, не запуская веб-браузер, а в это время генерируется запрос на автозаполнение.
«Предположим, вы пытаетесь войти в своё любимое музыкальное приложение на своём мобильном устройстве и используете опцию «Войти с помощью Google или Facebook*». Музыкальное приложение откроет внутри себя страницу входа в Google или Facebook* через WebView. Когда менеджер паролей вызывается для автозаполнения учётных данных, в идеале он должен автоматически заполнять только загруженную в WebView страницу Google или Facebook. Но мы обнаружили, что в этом случае менеджер паролей может случайно раскрыть учётные данные базовому приложению, в котором происходит авторизация», — объяснили обнаружившие уязвимость эксперты изданию TechCrunch.
Другими словами, разработчики стороннего приложения, в котором выполняется авторизация через Google, могут получить доступ к логину и паролю пользователя от его Google-аккаунта.
Специалисты протестировали несколько самых популярных менеджеров паролей, включая 1Password, LastPass, Keeper и Enpass, на разных устройствах Android, обнаружив в большинстве случаев вероятность утечки данных при отключённой JavaScript-инъекции. При активации этой функции уязвимость работала абсолютно во всех проверенных приложениях.
Разработчики 1Password уже занимаются устранением уязвимости AutoSpill и вскоре выпустят соответствующее обновление. Представители Keeper заявили, что это проблема операционной системы Android, поэтому решением должна заниматься Google. В последней пока никак не отреагировали на сообщения. Тем временем исследователи изучают, есть ли аналогичная проблема на iOS.
* Продукт компании Meta, признанной экстремистской организацией в России
.
Читайте также:
-
Google объявила о ребрендинге своего искусственного…
-
Санкции снова коснулись приложений: Mir Pay исключен…
-
Apple закрывает доступ к iMessage для Android: мечта…
-
Apple заподозрили в препятствовании работы аналога…
-
Microsoft представляет Copilot: ИИ-помощник нового…
-
Пользователи Android за год загрузили 600 миллионов вирусов