Bir dizi popüler mobil şifre yöneticisi, Android uygulamalarının otomatik doldurma işlevindeki bir güvenlik açığı nedeniyle yanlışlıkla kullanıcı kimlik bilgilerini dağıtıyor.
Bu güvenlik açığını keşfeden ve araştırmalarını bu hafta Black Hat Avrupa’da sunan IIIT Haydarabad’daki üniversite araştırmacılarına göre, “AutoSpill” olarak adlandırılan güvenlik açığı, Android’in güvenli otomatik doldurma mekanizmasını aşarak kullanıcıların mobil şifre yöneticileri tarafından kaydedilen kimlik bilgilerini açığa çıkarabilir.
Araştırmacılar Ankit Gangwal, Shubham Singh ve Abhijeet Srivastava, bir Android uygulaması WebView’da bir giriş sayfası yüklediğinde, Google’ın önceden yüklenmiş motorunun, geliştiricilerin web içeriğini uygulama içinde bir web tarayıcısını başlatmadan görüntülemesine ve otomatik doldurmaya olanak tanıdığını buldu. İstek oluşturulduğu takdirde, şifre yöneticilerinin kullanıcının oturum açma bilgilerini nereye hedeflemeleri gerektiği konusunda “yönelimlerini karıştırabileceklerini” ve bunun yerine kimlik bilgilerini temel uygulamanın yerel alanlarına ifşa edebileceklerini söylediler.
“Diyelim ki mobil cihazınızda en sevdiğiniz müzik uygulamasına giriş yapmaya çalışıyorsunuz ve ‘Google veya Facebook üzerinden giriş yap’ seçeneğini kullanıyorsunuz. Müzik uygulaması, WebView aracılığıyla kendi içinde bir Google veya Facebook giriş sayfası açacak,” diye açıkladı Gangwal, Çarşamba günkü Black Hat sunumundan önce TechCrunch’a.
“Kimlik bilgilerini otomatik olarak doldurmak için şifre yöneticisi çağrıldığında, ideal olarak yalnızca yüklenen Google veya Facebook sayfasını otomatik olarak doldurması gerekir. Ancak otomatik doldurma işleminin, yanlışlıkla temel uygulamaya ait kimlik bilgilerini açığa çıkarabileceğini gördük.”
Gangwall, özellikle temel uygulamanın kötü amaçlı olduğu bir senaryoda bu güvenlik açığının sonuçlarının önemli olduğunu belirtiyor. Şöyle ekledi: “Kimlik avı olmasa bile, Google veya Facebook gibi başka bir site aracılığıyla oturum açmanızı isteyen herhangi bir kötü amaçlı uygulama, hassas bilgilere otomatik olarak erişebilir.”
Araştırmacılar, AutoSpill güvenlik açığını yeni ve güncel Android cihazlarda 1Password, LastPass, Keeper ve Enpass gibi en popüler şifre yöneticilerinden bazılarını kullanarak test etti. Çoğu uygulamanın, JavaScript yerleştirme devre dışı olsa bile kimlik bilgisi sızıntısına karşı savunmasız olduğunu buldular. JavaScript enjeksiyonu etkinleştirildiğinde, tüm şifre yöneticileri Otomatik Doldurma güvenlik açığından etkileniyordu.
Gangwal, Google’ı ve etkilenen şifre yöneticilerini bu kusur konusunda uyardığını söyledi.
1Password baş teknoloji sorumlusu Pedro Canahuati, TechCrunch’a şirketin AutoSpill için bir düzeltme tespit ettiğini ve üzerinde çalıştığını söyledi. Canahuati, “Düzeltme güvenlik duruşumuzu daha da güçlendirecek olsa da, 1Password’ün otomatik doldurma işlevi kullanıcının açık eylemde bulunmasını gerektirecek şekilde tasarlandı” dedi. “Güncelleme, yerel alanların yalnızca Android’in Web Görünümü için tasarlanmış kimlik bilgileriyle doldurulmasını önleyerek ek koruma sağlayacaktır.”
Kaleci CTO’su Craig Lurey, TechCrunch ile paylaştığı açıklamada şirketin potansiyel bir güvenlik açığı konusunda bilgilendirildiğini ancak herhangi bir düzeltme yapıp yapmadığını söylemediğini söyledi. “Bildirilen sorunu göstermek için araştırmacıdan bir video istedik. Analizimize dayanarak, araştırmacının önce kötü amaçlı bir uygulama yüklediğini ve ardından Keeper’ın kötü amaçlı uygulamanın Keeper şifre kaydıyla ilişkilendirilmesini zorunlu kılan istemini kabul ettiğini belirledik” dedi Lurey.
Keeper, bunun “kullanıcıları, kimlik bilgilerinin güvenilmeyen bir uygulamaya veya kullanıcı tarafından açıkça yetkilendirilmemiş bir siteye otomatik olarak doldurulmasına karşı korumak için koruma önlemleri aldığını” söyledi ve “özellikle Android ile ilgili olduğundan” araştırmacının raporunu Google’a göndermesini tavsiye etti. platformu.”
Google ve Enpass, TechCrunch’ın sorularına yanıt vermedi. LastPass sözcüsü Elizabeth Bassler basın saatine göre yorum yapmadı.
Gangwal, TechCrunch’a araştırmacıların artık bir saldırganın potansiyel olarak uygulamadaki kimlik bilgilerini WebView’e çıkarma olasılığını araştırdığını söyledi. Ekip ayrıca güvenlik açığının iOS’ta da kopyalanıp kopyalanamayacağını araştırıyor.