close

_13_2023.12.11_AutoSpill_攻擊可自_Android_密碼管理工具中竊取密碼_

印度海德拉巴國際資訊科技研究所(International Institute of Information Technology, IIIT )的資安研究人員,近日發現一種新式攻擊方式,命名為 AutoSpill;駭侵者可以透過這種方式,在 Android 手機密碼管理員自動填寫密碼時進行竊取。

研究人員指出,許多 Android 平台上的 app,經常使用 WebView 控制項來顯示網頁內容,例如 app 的登入頁面,而非將用戶導向到系統瀏覽器;這樣雖然可以提高使用者體驗的順暢度,讓使用者不必頻繁切換前景應用程式,但這也給 AutoSpill 帶來可趁之機。

研究人員說,Android 平台上的各種密碼管理工具,在各個 App 出現登入畫面時,也多會使用 WebView 架構來自動輸入使用者儲存下來的帳號與密碼;由於 Android 平台本身對於自動輸入的資料,在架構上就缺少明確的責任歸屬定義,因此這些資料可能被 host 應用程式所攔截。

IIIT 的研究人員指出,據該單位的測試,多數 Android 平台上的密碼管理工具,都無法避免遭到 AutoSpill 竊取密碼;即使沒有任何 JavaScript 指令注入,也無法倖免。包括多種極受歡迎的密碼管理工具如 LastPass 5.11.0.9519、1Password 7.9.4、Enpass 6.8.2.666、Keeper 16.4.3.1048、Keypass2Android 1.90c-r0 都在各種測試中遭到 AutiSpill 成功取得自動填寫的使用者名稱或密碼。

相對的,研究人員也指出,Google Smart Lock 13.30.8.26 和 DashLane 6.2221.3 由於採用了不同方式來自動填寫登入資訊,因此在未有 JavaScript 注入的情形下,不會洩露自動填寫的帳號與密碼。

在各密碼管理工具推出修復 AutoSpill 攻擊的新版本前,Android 使用者應提高警覺,避免自非正常管理下載安裝任何軟體或 APK 檔案,以免登入資訊遭竊。

  • 參考連結

EU-23-Gangwal-AutoSpill-Zero-Effort-Credential-Stealing

https://www.documentcloud.org/documents/24202397-eu-23-gangwal-autospill-zero-effort-credential-stealing

AutoSpill attack steals credentials from Android password managers

https://www.bleepingcomputer.com/news/security/autospill-attack-steals-credentials-from-android-password-managers/

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()