Pratite nas preko RSS-aAutospill napad krade lozinke iz menadžera lozinki na Androidu
Mobilni telefoni, 12.12.2023, 10:30 AM
Većina menadžera lozinki za Android ranjiva je na napad koji su razvili istraživači sa Međunarodnog instituta za informacione tehnologije koji su novi napad nazvali Autospill. Ovaj sofisticirani napad omogućava napadačima da ukradu korisnička imena i lozinke iz većine popularnih menadžera lozinki na Android platformi.
Istraživači su testirali ovaj napad na različitim verzijama Androida (10, 11 i 12) i otkrili da su 1password 7.9.4, Lastpass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 i Keepass2android 1.09c-R0 ranjivi na Autospill napad.
Google Smart Lock 13.30.8.26 i Dashlane 6.2221.3 imaju drugačiji tehnički pristup za proces automatskog popunjavanja tako da ne otkrivaju osetljive podatke, osim ako nije korišćen JavaScript injection.
Android aplikacije često koriste WebView Controls za prikazivanje veb sadržaja, kao što su stranice za prijavljivanje unutar aplikacije, umesto da preusmere korisnike u glavni pretraživač.
Menadžeri lozinki na Androidu koriste WebView da automatski upisuju kredencijale korisnika kada aplikacija učita stranicu za prijavu na servise kao što su Apple, Facebook, Microsoft ili Google.
Istraživači su rekli da je moguće iskoristiti slabosti u ovom procesu da bi se uhvatili automatski popunjeni kredencijali, čak i bez JavaScript injection. Ako je JavaScript injection omogućen, svi menadžeri lozinki na Androidu su ranjivi na AutoSpill napad, kažu istraživači.
AutoSpill je rezultat neuspeha Androida da sprovede ili jasno definiše odgovornost za bezbedno rukovanje automatski popunjenim podacima, što može dovesti do njihovog curenja ili krađe od strane aplikacije domaćina.
Autospill napad koristi zlonamernu aplikaciju koja se instalira na Android uređaju žrtve. Kada se takva aplikacija instalira, ona koristi ranjivost u Androidu kako bi prevarila menadžere lozinki i prisilila ih da automatski popune podatke za prijavu na lažnoj veb stranici za prijavljivanje koju kontroliše napadač. Na taj način, napadači mogu prikupiti osetljive podatke za prijavljivanje i kasnije ih zloupotrebiti, a da na uređaju ne ostanu nikakvi tragovi napada.
Ova ranjivost je posebno zabrinjavajuća jer većina Android korisnika koristi menadžere lozinki kako bi olakšali proces prijave na veb sajtove i aplikacije.
Dodatni tehnički detalji o napadu Autospill dostupni su u slajdovima iz prezentacije istraživača koja je prikazana na konferenciji Black Hat Europe.
Istraživači su obavestili pogođene proizvođače softvera i tim za bezbednost Androida o ovom napadu i dali svoje predloge za rešavanje problema.
Foto: Craig Dennis
Izdvojeno
Opasni malver otkriven u bezazlenoj aplikaciji za izračunavanje indeksa telesne mase
.jpg)
Istraživači sajber bezbednosti iz kompanije McAfee otkrili su da aplikacija BMI CalculationVsn, koja se mogla preuzeti sa Amazon Appstore, u pozadin... Dalje
Google najavio nova upozorenja na Androidu za nepoznate uređaje za praćenje
Google će ažurirati upozorenja za nepoznate uređaje za praćenje koja bi vlasnicima Android uređaja trebalo da olakšaju njihovo otkrivanje, najav... Dalje
Ove lažne ponude za posao kriju bankarskog trojanca za Android
.jpg)
Tim istraživača Zlabsa iz kompanije Zimperium otkrio je sofisticiranu mobilnu phishing kampanju (Mishing) koja distribuira novu varijantu bankarskog... Dalje
Špijunski malver za Android imitira popularnu aplikaciju sa Google Play
Istraživači Citizen Lab-a otkrili su novi malver za Android analizirajući softver koji je ruska Federalna služba bezbednosti (FSB) instalirala na ... Dalje
Niko nije bezbedan: zloglasni špijunski softver Pegaz pronađen na telefonima ''običnih'' ljudi
Moćni špijunski softver Pegaz mogao bi biti rašireniji nego što se ranije mislilo. Mobilna bezbednosna platforma iVerify otkrila je sedam infekci... Dalje
Pratite nas
Nagrade
Prijatelji
