Vous avez probablement déjà entendu parler d’une vulnérabilité nommée AutoSpill, qui peut divulguer les informations d’identification de l’un des sept principaux gestionnaires de mots de passe pour Android. La menace qu’elle représente est réelle, mais elle est également plus limitée et plus facile à contenir que ce que la plupart des médias ont reconnu jusqu’à présent.
Cette FAQ plonge dans les nombreuses nuances qui rendent AutoSpill difficile à comprendre pour la plupart des gens (y compris le vôtre). Cet article n’aurait pas été possible sans l’aide précieuse d’Alesandro Ortiz, un chercheur qui a découvert une vulnérabilité Android similaire en 2020.
Q : Qu’est-ce qu’AutoSpill ?
UN: Bien qu’une grande partie de la couverture médiatique d’AutoSpill l’ait décrit comme une attaque, il est plus utile de le considérer comme un ensemble de comportements dangereux qui peuvent se produire au sein du système d’exploitation Android lorsqu’un identifiant stocké dans un gestionnaire de mots de passe est automatiquement renseigné dans une application installée sur Android. le dispositif. Ce comportement dangereux expose les informations d’identification remplies automatiquement à l’application tierce, qui peut être à peu près n’importe quel type d’application tant qu’elle accepte les informations d’identification pour connecter l’utilisateur à un compte.
Les gestionnaires de mots de passe concernés d’une manière ou d’une autre incluent 1Password, LastPass, Enpass, Keepass2Android et Keeper. D’autres gestionnaires de mots de passe pourraient également être concernés puisque les chercheurs qui ont identifié AutoSpill ont limité leur requête à seulement sept titres. Google Smart Lock et Dashlane sont tous deux vulnérables à une attaque similaire impliquant une injection de JavaScript (voire plus loin).
AutoSpill a été identifié par les chercheurs Ankit Gangwal, Shubham Singh et Abhijeet Srivastava de l’Institut international des technologies de l’information d’Hyderabad en Inde. Ils ont présenté leurs conclusions la semaine dernière lors de la conférence sur la sécurité Black Hat à Londres.
Q : Si l’application tierce autorise ou exige qu’un utilisateur se connecte à un compte, pourquoi est-ce un problème que le mot de passe soit rempli automatiquement à partir d’un gestionnaire de mots de passe ?
UN: Ce n’est un problème que dans certains scénarios. La première est lorsque l’application tierce permet aux utilisateurs de se connecter à un compte en utilisant les informations d’identification d’un autre compte. Par exemple, des centaines d’applications et de sites utilisent une norme appelée OAuth pour offrir aux utilisateurs la possibilité de se connecter à leurs comptes en utilisant les informations d’identification de leurs comptes sur des sites tels que Google, Facebook ou Apple. L’un des principaux arguments de vente de ces arrangements, connus sous le nom de délégation d’accès, est que l’application ou le service tiers ne voit jamais les informations d’identification. AutoSpill a le potentiel de violer cette garantie fondamentale.
Une autre façon pour une application malveillante d’exploiter AutoSpill serait de charger du contenu WebView à partir du site d’une banque ou d’un autre service avec lequel l’utilisateur possède un compte. Lorsque l’application malveillante charge la page de connexion du site de confiance, l’utilisateur sera invité à sélectionner ses informations d’identification. Si l’utilisateur approuve l’invite de saisie automatique, les informations d’identification seront renseignées non seulement dans la partie WebView de l’application malveillante, mais également dans la vue native de l’application (plus d’informations sur la différence entre WebView et les propriétés de la vue native dans un instant). Et selon le gestionnaire de mots de passe utilisé, ce flux peut se produire sans avertissement.
Il est difficile d’imaginer un prétexte réaliste que l’application malveillante pourrait utiliser pour inciter un utilisateur à se connecter à un compte tiers non géré par le développeur de l’application, et les chercheurs d’AutoSpill n’en ont proposé aucun. Une possibilité pourrait être une version malveillante d’une application qui transfère des listes de lecture de chansons d’un service de musique à un autre. Les applications légitimes, telles que FreeYourMusic ou Soundiiz, fournissent un service précieux en analysant une liste de lecture stockée dans le compte d’un service, tel qu’Apple Music, puis en créant une liste de lecture identique pour un compte sur un autre service, tel que Tidal. Pour fonctionner comme vous le souhaitez, ces applications nécessitent les informations d’identification des deux comptes.
Une autre façon pour une application malveillante d’exploiter AutoSpill consiste à injecter du JavaScript dans le contenu WebView qui copie les informations d’identification et les envoie à l’attaquant. Ces types d’attaques sont déjà connus et fonctionnent dans des contextes qui vont bien au-delà de ceux présentés par AutoSpill.
Ce qui n’est pas clair dans certaines couvertures d’AutoSpill, c’est qu’il ne constitue une menace que dans ces scénarios limités, et même dans ce cas, il n’expose qu’un seul identifiant de connexion, en particulier celui qui est rempli automatiquement. AutoSpill ne constitue pas une menace lorsqu’un gestionnaire de mots de passe remplit automatiquement le mot de passe d’un compte géré par le développeur ou le service responsable de l’application tierce. Par exemple, lors de la saisie automatique des informations d’identification Gmail dans l’application Gmail officielle de Google ou des informations d’identification Facebook dans l’application officielle de Facebook. Application Android.