Muitos gerenciadores de senhas vulneráveis ao ataque AutoSpill no Android
Muitos gerenciadores de senhas vulneráveis ao ataque AutoSpill no Android' tornam-se uma ameaça para os usuários.
Uma equipe de pesquisadores descobriu uma nova vulnerabilidade, chamada “AutoSpill”, que afeta vários gerenciadores de senhas populares em dispositivos Android, de acordo com um relatório recente da ENBLE. A vulnerabilidade permite que aplicativos maliciosos acessem as credenciais de login sensíveis dos usuários armazenadas nos gerenciadores de senhas, explorando a função de preenchimento automático no componente WebView do Android.
De acordo com Ankit Gangwal, Shubham Singh e Abhijeet Srivastava do IIIT Hyderabad na Índia, a vulnerabilidade funciona enganando os gerenciadores de senhas para preencher automaticamente as credenciais em campos de texto nativos do aplicativo quando o aplicativo mostra uma página de login através de um WebView em vez de abrir um navegador da web externo.
“Mesmo sem phishing, qualquer aplicativo malicioso que peça para você fazer login via outro site, como o Google ou o Facebook, pode acessar automaticamente informações sensíveis”, explicou Gangwal.
Os pesquisadores testaram o AutoSpill em gerenciadores de senhas líderes, como 1Password, LastPass, Keeper e Enpass, em dispositivos Android totalmente atualizados. Eles descobriram que a maioria dos aplicativos era vulnerável mesmo com as proteções de injeção de JavaScript ativadas. Com o JavaScript ativado, todos os gerenciadores de senhas testados eram suscetíveis.
As implicações são sérias considerando a popularidade dos gerenciadores de senhas para armazenar informações de login sensíveis para vários serviços on-line. Se explorada, a vulnerabilidade oferece acesso fácil a aplicativos maliciosos a um tesouro de nomes de usuário e senhas.
- Nova atualização da Samsung provoca onda de bugs em muitos telefone...
- Nova app poderá em breve trazer FaceTime e balões azuis para telefo...
- O Iphone 15 Pro receberá em breve um grande impulso no foco
Gangwal divulgou as descobertas tanto para o Google quanto para os desenvolvedores dos gerenciadores de senhas afetados. O 1Password reconheceu a vulnerabilidade e afirma ter identificado uma solução que será implementada em uma atualização futura. O LastPass também implementou medidas de mitigação. Outros fornecedores ainda não comentaram publicamente ou confirmaram planos de resolver o problema.
A equipe de pesquisadores afirma que ainda está investigando se um ataque semelhante é possível em dispositivos iOS. Por enquanto, os usuários do Android devem ter cautela ao inserir credenciais em campos de texto nativos do aplicativo, mesmo se solicitados por uma página de login baseada em WebView. Como sempre, instale apenas aplicativos de fontes confiáveis, como a Google Play Store.
A pesquisa AutoSpill destaca o desafio crescente de proteger credenciais em todo o ecossistema de aplicativos moderno. À medida que os sistemas de login migram cada vez mais das web para fluxos de navegador incorporados em aplicativos, vulnerabilidades como essa demonstram que muitos riscos ainda estão sendo descobertos.
