Résumé
- Les chercheurs ont découvert une vulnérabilité parmi les gestionnaires de mots de passe Android, appelée « AutoSpill », qui pourrait permettre à des applications malveillantes de voler les informations d’identification des utilisateurs tout en remplissant automatiquement les informations de connexion.
- Les chercheurs ont déclaré avoir testé la vulnérabilité sur plusieurs appareils Android, mais apparemment sur des modèles plus anciens.
- Plusieurs marques de gestionnaires de mots de passe corrigent déjà cette vulnérabilité, certaines proposant des avertissements améliorés aux utilisateurs.
Gestionnaires de mots de passe jouent un rôle essentiel dans la simplification de notre activité en ligne. Ils peuvent stocker en toute sécurité de nombreux comptes et leurs mots de passe correspondants, avec la commodité de remplir automatiquement les détails lors de la connexion à un nouveau service. Malgré les mesures de protection mises en place par Google et les gestionnaires de mots de passe, la nature évolutive de la sécurité mobile entraîne l’apparition de nouvelles vulnérabilités. Des chercheurs de l’Institut international des technologies de l’information (IIIT) à Hyderabad, en Inde, ont découvert un nouveau problème avec certains gestionnaires de mots de passe sur Android, dans lequel des applications malveillantes peuvent voler ou capturer les informations d’identification de l’utilisateur dans WebView, en particulier lorsque le gestionnaire de mots de passe tente de remplir automatiquement la connexion. informations d’identification.
Nommé « Déversement automatique« , cette vulnérabilité a été découverte conjointement par Ankit Gangwal, Shubham Singh et Abhijeet Srivastava, qui auraient pris contact avec les créateurs des applications de gestion de mots de passe sur lesquelles ils l’ont testé – 1Password, LastPass, Keeper et Enpass – ainsi qu’avec Google. Ils ont présenté leurs conclusions en détail lors de la récente conférence BlackHat Europe 2023un forum annuel bien connu sur la cybersécurité.
Le trio de chercheurs a mené les tests sur « appareils Android nouveaux et à jour, » selon TechCrunch. Cependant, l’un des diapositives de leur présentation révèle l’utilisation d’un Poco F1 exécutant Android 10 et le correctif de sécurité de décembre 2020, le Samsung Galaxy A52 (Android 12, patch d’avril 2022) et le Galaxy Tab S6 Lite (Android 11, patch de janvier 2022). Sans Android 13 ou Android 14 téléphones utilisés pour tester cette vulnérabilité, nous ne pouvons pas exclure l’idée que Google en soit déjà conscient ou l’ait peut-être même corrigé avec les versions les plus récentes d’Android.
WebView sur Android ouvre une page Web dans l’application sans passer à votre navigateur mobile principal. Ceci est généralement utilisé lors des connexions dans l’application et dans d’autres scénarios, pour rendre les choses un peu plus fluides. La plupart des utilisateurs connaissent assez bien le Connectez-vous avec Google ou Connectez-vous avec Facebook options qui apparaissent lors de la connexion à un service dans l’application. Les gestionnaires de mots de passe sont conçus pour récupérer et remplir automatiquement vos informations de connexion afin de gagner du temps, et c’est là que la vulnérabilité AutoSpill entre en jeu, selon les chercheurs.
Dans une conversation avec TechCrunch, les chercheurs ont déclaré que les gestionnaires de mots de passe peuvent être « désorientés » quant à l’endroit où les informations de connexion doivent aller et donc révéler les données sensibles à « l’application de base ».
« Lorsque le gestionnaire de mots de passe est invoqué pour remplir automatiquement les informations d’identification, idéalement, il ne devrait remplir automatiquement que la page Google ou Facebook qui a été chargée. Mais nous avons constaté que l’opération de saisie automatique pouvait accidentellement exposer les informations d’identification à l’application de base », a déclaré le chercheur Gangwal. TechCrunch.
Nous avons contacté les créateurs du célèbre gestionnaire de mots de passe BitWarden, qui ont répondu avec la déclaration suivante :
Bitwarden n’a pas été répertorié dans cette recherche et n’a pas été informé par les chercheurs qu’il affecte Bitwarden. Bitwarden étudie actuellement les détails et y répondra si nécessaire.
Pendant ce temps, 1Password a déclaré qu’il était conscient de cette vulnérabilité et que la société était en train de déployer un correctif. Le CTO de Keeper, Craig Lurey, a déclaré que son service dispose de garanties « pour protéger les utilisateurs contre le remplissage automatique d’informations d’identification dans une application non fiable ou un site qui n’a pas été explicitement autorisé par l’utilisateur ».
D’autre part, le directeur du renseignement sur les menaces chez LastPass, Alex Cox, a déclaré à TechCrunch que leur service incluait déjà une fenêtre contextuelle d’avertissement pour les applications qui tentent de profiter de cet exploit avant même que la vulnérabilité ne soit révélée chez Black Hat. Cox a poursuivi en disant que l’équipe avait ajouté plus de « formulations informatives » à la fenêtre contextuelle depuis cette nouvelle révélation.
Quant aux prochaines étapes des trois chercheurs, ils sont censés tenter de reproduire cette même attaque sur l’iOS d’Apple tout en essayant également de savoir si un attaquant potentiel peut récupérer des détails de l’application et sur la page WebView.
Pour être clair, un attaquant ne peut réussir à exploiter AutoSpill que si l’utilisateur se trouve sur WebView dans une application inconnue ou malveillante. De plus, votre personnel téléphone Android peut ne pas nécessiter de saisie automatique à partir des applications de gestion de mots de passe, surtout si vous vous connectez avec le compte Google principal de l’appareil. D’après notre expérience, les gestionnaires de mots de passe se sont montrés quelque peu peu fiables pour accéder à la saisie automatique pour la connexion, nous finissons donc principalement par utiliser la bonne vieille méthode copier/coller. Nous sommes curieux de voir ce que Google pense de cet exploit, maintenant que les créateurs d’applications de gestion de mots de passe ont déjà confirmé qu’il s’agit d’un problème.