Samenvatting

De AutoSpill aanval vormt een nieuwe bedreiging voor Android-wachtwoordbeheerders. Het bespreekt het mechanisme van de aanval, de kwetsbaarheid van verschillende wachtwoordbeheerders en de reacties van de getroffen softwareleveranciers.

In een recente onthulling op de Black Hat Europe-veiligheidsconferentie introduceerden onderzoekers van het International Institute of Information Technology (IIIT) in Hyderabad een nieuwe veiligheidsdreiging genaamd AutoSpill. Deze aanval is gericht op Android-wachtwoordbeheerders om gebruikersgegevens te stelen tijdens automatisch aanvullen.

“Beveiliging is altijd overdreven totdat het niet genoeg is.” – Robbie Sinclair

Hoe AutoSpill werkt

AutoSpill maakt gebruik van de automatische aanvulfunctie van Android-wachtwoordbeheerders. Android-apps maken vaak gebruik van Webweergave bedieningselementen om webinhoud, zoals inlogpagina’s, binnen de app weer te geven in plaats van gebruikers om te leiden naar de hoofdbrowser. Dit proces komt vooral voor op apparaten met een klein scherm, waar het omslachtig kan zijn om naar de hoofdbrowser te gaan. De wachtwoordmanagers op Android maken gebruik van die van het platform Webweergave raamwerk om automatisch de accountgegevens van een gebruiker in te voeren wanneer een app de inlogpagina laadt voor services zoals Appel, Facebook, Microsoftof Googlen.

Onderzoekers ontdekten dat het mogelijk is zwakke punten in dit proces te misbruiken om de automatisch ingevulde inloggegevens van de oproepende app vast te leggen, zelfs zonder JavaScript-injectie. Als JavaScript-injecties zijn ingeschakeld, zijn alle wachtwoordbeheerders op Android kwetsbaar de AutoSpill-aanval. Dit probleem komt voort uit het onvermogen van Android om de verantwoordelijkheid voor het veilig omgaan met de automatisch ingevulde gegevens af te dwingen of duidelijk te definiëren. Bijgevolg kunnen deze gegevens lekken of worden vastgelegd door de host-app.

Impact en tegenmaatregelen

De onderzoekers testten AutoSpill met verschillende wachtwoordmanagers op Android 10, 11 en 12. Ze ontdekten dat meerdere wachtwoordmanagers, waaronder 1Wachtwoord 7.9.4, LastPass 5.11.0.9519, Omvatten 6.8.2.666, Bewaarder 16.4.3.1048, en Keepass2Android 1.09c-r0 zijn gevoelig voor aanvallen vanwege het gebruik van het autofill-framework van Android.

Echter, Google SmartLock 13.30.8.26 en Dash Lane 6.2221.3, dat een andere technische benadering gebruikt voor het autofill-proces, lekte geen gevoelige gegevens naar de host-app, tenzij JavaScript-injectie werd gebruikt. De bevindingen werden bekendgemaakt aan de getroffen softwareleveranciers en het Android-beveiligingsteam, en voorstellen om het probleem aan te pakken werden gedeeld. Het rapport werd als geldig erkend, maar er werden geen details over de reparatieplannen gedeeld.

Reacties van softwareleveranciers

Verschillende softwareleveranciers hebben gereageerd op de AutoSpill-dreiging. Een woordvoerder van 1Wachtwoord verklaarde dat er een oplossing voor AutoSpill is geïdentificeerd en momenteel in de maak is. De update zal hun beveiligingspositie verbeteren door te voorkomen dat native velden worden gevuld met inloggegevens die alleen bedoeld zijn voor Android’s WebView.

LastPass had echter al maatregelen getroffen voordat de AutoSpill-bevindingen werden ontvangen. Ze hebben een pop-upwaarschuwing in het product wanneer de app een poging detecteert om misbruik te maken van de exploit en hebben meer informatieve bewoordingen in de pop-up toegevoegd na analyse van de bevindingen.

Keeper Beveiligingmede opgericht door Craig Lureyverduidelijkt dat Keeper beveiligingen heeft die gebruikers beschermen tegen het automatisch invullen van inloggegevens in een niet-vertrouwde applicatie of site. De gebruiker wordt gevraagd de koppeling van de applicatie aan de Keeper-wachtwoordrecord te bevestigen voordat er informatie wordt verstrekt.

Google heeft ook op dit probleem ingegaan en verklaard dat het verband houdt met de manier waarop wachtwoordbeheerders de autofill-API’s gebruiken bij hun interactie Webweergaven. Ze raden alle wachtwoordbeheerders aan om de best practices van WebView te implementeren en wachtwoordbeheerders de vereiste context te bieden om onderscheid te maken tussen native weergaven en WebViews.

Deel het artikel via de korte URL: