Популярность менеджеров паролей растёт, поскольку невозможно запомнить десятки и сотни логинов и паролей от разных учётных записей, которые к тому же должны быть максимально длинными и сложными. Однако, хранение наиболее ценной информации в интернете всегда сопряжено с рисками. Очередное исследование показывает, что не самая сложная уязвимость в операционной системе Android способна подвергнуть риску ваши логины и пароли. Особенно этот риск велик тогда, когда веб-страницы загружаются внутри приложения и необходимо выполнить вход в аккаунт для просмотра содержимого.
Уязвимость под названием AutoSpill, заключается в том, что при использовании функции автозаполнения паролей через WebView, злоумышленники могут получить доступ к учетным данным пользователя.
В качестве примера можно назвать приложения, где можно выполнять вход в аккаунт через аккаунты Google или некоторых социальных сетей. Диспетчер паролей должен внести логин и пароль в соответствующие поля в интерфейсе WebView. Вместо этого логин и пароль иногда передаются напрямую в приложение.
В итоге, если вредоносное приложение выдаёт себя за обычное, оно может перехватить эти данные и получить доступ к аккаунтам пользователей. Подобное регулярно происходит с приложениями из магазина Google Play Store. Google удаляет их из магазина, но к этому моменту могут быть украдены данные десятков и сотен тысяч пользователей.
Специалисты провели тестирование AutoSpill на известных менеджерах паролей, таких как 1Password, LastPass, Keeper и Enpass, где обнаружили, что большинство приложений остаются уязвимыми, даже при наличии защиты от инъекций JavaScript.
При включении JavaScript все тестированные менеджеры паролей были подвержены уязвимости. Причем исследование проводилось на обновленных версиях Android.
О проблемах уже уведомили разработчиков, которые готовят решения по устранению проблем, но находка крайне серьезная, поскольку менеджеры паролей должны быть последними приложениями, подверженными взлому. Из практических рекомендаций остается проявлять осторожность и временно избегать использования этих приложений для управления паролями.
С заботой о вашей безопасности, команда Origin Security
