Seis dos gerenciadores de senhas mais populares para Android estão vazando dados.
Sei das principais ferramentas de gerenciamento de senhas para Android estão expondo informações.
Vários gerenciadores de senhas móveis estão vazando credenciais de usuários devido a uma vulnerabilidade descoberta na funcionalidade de preenchimento automático de aplicativos Android.
A falha de roubo de credenciais, chamada AutoSpill, foi relatada por uma equipe de pesquisadores do Instituto Internacional de Tecnologia da Informação Hyderabad na conferência Black Hat Europe 2023 da semana passada.
Também: Os melhores gerenciadores de senhas para te salvar de problemas de login
A vulnerabilidade entra em jogo quando o Android chama uma página de login via WebView. (WebView é um componente do Android que torna possível visualizar conteúdo da web sem abrir um navegador web.) Quando isso acontece, o WebView permite que aplicativos Android exibam o conteúdo da página da web em questão.
Isso é tudo bem e bom – a menos que um gerenciador de senhas seja adicionado à mistura: as credenciais compartilhadas com o WebView também podem ser compartilhadas com o aplicativo que chamou originalmente o nome de usuário e senha. Se o aplicativo de origem for confiável, tudo deverá ficar bem. Se esse aplicativo não for confiável, as coisas podem correr muito mal.
- Já há algo errado com o OnePlus 12 | ENBLE
- O iOS 17.2 acabou de chegar. Aqui está o que há de novo na grande a...
- Os Melhores MP3 Players para 2023
Os gerenciadores de senhas afetados são 1Password, LastPass, Enpass, Keeper e Keepass2Android. Além disso, se as credenciais forem compartilhadas por meio de um método de injeção de JavaScript, tanto o DashLane quanto o Google Smart Lock também são afetados pela vulnerabilidade.
Também: 5 dicas rápidas para fortalecer a segurança do seu telefone Android hoje
Devido à natureza dessa vulnerabilidade, não é necessário phishing nem código malicioso no aplicativo.
Uma coisa a ter em mente é que os pesquisadores testaram isso em hardware e software que não são atuais.
Especificamente, eles testaram nesses três dispositivos: Poco F1, Samsung Galaxy Tab S6 Lite e Samsung Galaxy A52. As versões do Android usadas nos testes foram Android 0 (com o patch de segurança de dezembro de 2020), Android 11 (com o patch de segurança de janeiro de 2022) e Android 12 (com o patch de segurança de abril de 2022).
Como esses dispositivos testados – assim como os patches de SO e segurança – estavam desatualizados, é difícil saber com certeza se a vulnerabilidade afetaria versões mais recentes do Android.
No entanto, mesmo se você estiver usando um dispositivo diferente do que o grupo testou, isso não significa que essa vulnerabilidade deve ser ignorada. Pelo contrário, ela deve servir como um lembrete para sempre manter seu sistema operacional Android e os aplicativos instalados atualizados. O sistema WebView sempre foi alvo de escrutínio e as atualizações desse software devem ser sempre feitas. Para isso, você pode abrir a Google Play Store no seu dispositivo, procurar por WebView, tocar em “Sobre este app” e comparar a versão mais recente com a versão instalada no seu dispositivo. Se elas não forem as mesmas, você precisará atualizar.
Um dos melhores meios para manter o Android seguro é garantir que ele esteja sempre o mais atualizado possível. Verifique diariamente as atualizações do sistema operacional e dos aplicativos e aplique todas que estiverem disponíveis.
