Přejít k hlavnímu obsahu
Bezpečnost

Další objevená zranitelnost Androidu: takhle snadno se dostanou vaše hesla do rukou útočníků

Jiří Palyza 11.12.2023
Zdroj: rawpixel.com/Freepik

Používáte na svém mobilu nebo jiném androidovém zařízení správce hesel? Pak pozor na to, že řada z nich neúmyslně vyzrazuje vaše přihlašovací údaje. Chyba je ve funkci automatického vyplňování v aplikacích pro Android.

Chybu nazvanou AutoSpill objevili univerzitní výzkumníci a prezentovali ji na konferenci Black Hat Europe. Jejím zneužitím lze odhalit uložené přihlašovací údaje v aplikacích pro správu hesel. Dojde k tomu obcházením bezpečného mechanizmu automatického vyplňování.

Chyba je zneužitelná v okamžiku, když se správci hesel pokoušejí prostřednictvím automatického vyplňování zadat přístupové údaje do některé z aplikací, například Google nebo Facebooku. Za určitých podmínek se přihlašovací data ocitnou ve vstupních polích aplikace WebView, což neoprávněným útočníkům umožní jejich přečtení.

Mohlo by vás zajímat

Google WebView je komponenta systému Android, která umožňuje aplikacím zobrazovat webový obsah přímo v aplikaci, aniž byste museli přecházet do prohlížeče. Vývojáři mohou použít tuto komponentu namísto vlastního prohlížeče, což šetří čas a paměťové nároky.

WebView je také důležitá pro správné fungování mnoha aplikací, které potřebují přístup k informacím na webu.

Bezpečnostní díra Androidu: dotčeny jsou známé aplikace správců hesel

Uživatel vyplňuje přihlašovací údaje na mobilu
Místo automatického vyplňování by uživatelé měli hesla zadávat ručně. Především ti, kdo využívají správce hesel, a do doby, než budou jejich verze aktualizovány.
Zdroj: rawpixel.com/Freepik

Zranitelnost byla testována na systémech Android 10, 11 a 12. Dotčeny jsou známé aplikace správců hesel, například 1Password, Lastpass, Enpass, Keeper a Keepass2Android.

I bez podpory JavaScriptu byla většina zranitelná, s povoleným JavaScriptem útok fungoval na všech. Doporučujeme zvýšenou opatrnost, případně raději přejít na ruční zadávání. Tím by se mělo riziko vyzrazení přihlašovacích údajů minimalizovat.

Mohlo by vás zajímat

Výzkumníci o svém zjištění informovali Google i provozovatele jednotlivých aplikací pro správu hesel. Tým také zjišťuje, zda se dá objevená zranitelnost replikovat i v prostředí Apple iOS.

Pokud některého ze správců hesel používáte, sledujte, zda už k němu nemáte k dispozici nejnovější aktualizace. Pokud ano, doporučujeme neodkládat jejich instalaci. V nich už by jejich poskytovatelé mohli na nejnovější zjištění zareagovat a zranitelnost záplatovat.

Zdroj: TechCrunch, Black Hat Europe, The Cyber Express


Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme


články odjinud