BLACK HAT AVRUPA – Londra – Araştırmacılar, en yaygın kullanılan şifre yöneticilerinin, mobil işletim sisteminin WebView otomatik doldurma özelliğini kötü amaçlı uygulamalarla kullanırken Android cihazlardan kimlik bilgilerini nasıl sızdırabildiğini gösterdi.
Bu haftaki Black Hat Avrupa konferansında, Uluslararası Bilgi Teknolojileri Enstitüsü’nden (IIIT) Ankit Gangwal, bunun nasıl olduğunu gösterdi. WebView kontrollerini kullanan mobil uygulamalar kimlik bilgilerini sızdırabilir birçok şifre yöneticisinden.
Gangwal ve öğrencileri Shubham Singh ve Abhijeet Srivastava, “AutoSpill” adını verdikleri kimlik bilgileri sızdırma güvenlik açığını ortaya çıkardı sundukları bir makalede Nisan ayında ACM Veri ve Uygulama Güvenliği ve Gizliliği Konferansı (CODASPY). CODASPY etkinliğinde en büyük ödülleri kazanan teknik belge, AutoSpill’in mobil şifre yöneticilerindeki Android tabanlı WebView otomatik doldurma işlevini farkında olmadan nasıl sızdırabildiğini ayrıntılarıyla anlatıyor.
Bu bulgu, şifre yöneticilerinin kullanımının hızlanmasıyla ortaya çıktı. Security.org’un yıllık raporuna göre ABD’de şifre yöneticisi kullananların oranı 2022’de %21’den %34’e çıktı.Parola Yöneticisi Sektör Raporu ve Pazar Görünümü“
Gangwal kendisinin ve öğrencilerinin keşfettiklerini açıklıyor En iyi 10 şifre yöneticisi bir uygulamanın WebView’ı çağırırken kullanıcı adı ve şifre bilgilerini açığa çıkarabileceği AutoSpill’e eğilimlidir. Gangwal’a göre, bir kullanıcının istemeden kötü amaçlı bir uygulamayı yüklemesi sorun teşkil ediyor.
Kimlik Bilgisi Hırsızlığı: “Kimlik Avına Gerek Yok”
Gangwal, “Eğer bu kötü amaçlı bir uygulamaysa, kimlik bilgilerini ücretsiz olarak alacak” diyor. “Kimlik avına gerek yok, kandırmaya gerek yok, hiçbir şeye gerek yok. En kötü yanı, bu tür uygulamaların resmi mağazalarda kalabilmesi [i.e., Google Play]daha geniş bir kullanıcı tabanına dağıtılabilmeleri, bence bu sorunu daha da ciddi hale getiriyor.”
Gangwal, AutoSpill’den yararlanan kimsenin farkında olmadığını söylüyor. “Umarım kimse bunu istismar etmemiştir” diyor. “Bu şeyi keşfettiğimiz anda her şeyi belgeledik. Bunu etkilenen şifre yöneticileri ve Google ekibiyle paylaştık.” Makaleyi yayınladıktan sonra Gangwal, makaleyi tüm şifre yöneticisi sağlayıcılarına e-postayla gönderdi. Gangwal’ın adını vermediği bir kişi, çok sayıda iletişim girişimine rağmen yanıt veremedi. Yanıt verenlerin çoğu sorunu Google’a erteledi.
Gangwal, “Bunun bizim sorumluluğumuz olmadığını, bunun Android’le ilgili bir sorun olduğunu söylediler” diye anımsıyor. “Onlarla tekrar tekrar tartışmaya çalışıyoruz. İletişime çok zaman ayırdık ve sorunu onlara açıkladık. Her şeyi açıkça reddettiler.”
Yanıt verenlerden biri 1Password’du. Gangwal, “Sorunu çözeceklerine söz verdiler” diyor. 1Password ürün müdürü Nick Steele, Dark Reading’in bir sorusuna kısa bir yanıt vererek şunları söyledi: “Prof. Ankit ve ekibi birkaç hafta önce bulgularını ekibimize rapor edecek kadar nezaket gösterdi; size yakında bir yanıt vereceğiz. “
Gangwal, Google’ın hata avlama topluluk programı aracılığıyla AutoSpill güvenlik açığına Öncelik 2 ve Önem Derecesi 2 sıralamasını atadığını söylüyor. Hata avlama programındaki soruşturma ilerlemesi kamuya açıklanmasa da Gangwal şöyle diyor: “Düzeltmeye çalıştıklarına dair birçok kez yanıt verdiler.”
Potansiyel Çözümler
Gangwal, şifre yöneticilerinin bir web alanını kullanıcı adı ve şifre içeren giriş alanıyla ilişkilendirerek riski azaltabileceğini belirtiyor. “Bu şekilde daha güvenli bir bağlantı geliştirebilirler.”
Gangwal, nihai çözümün şifreleri tamamen ortadan kaldırmak olduğuna inanıyor geçiş anahtarlarıWorld Wide Web Konsorsiyumu’nun (W3C) uygulayan FIDO Alliance spesifikasyonunu temel alan özel kriptografik anahtarlar kullanarak parolasız kimlik doğrulamayı mümkün kılan dijital kimlik bilgileri WebAuthn standardı.
“Parolaların tüm bu sorunu çözeceğini düşünüyorum çünkü bunlar imza tabanlıdır ve geçiş anahtarına erişebilen her uygulamaya açıkça izin vermeniz gerekir” diyor. “Ancak bir araştırmacı olarak bakalım neler olacak, çünkü şu anda üzerinde çalıştığımız konu henüz olgunlaşmamış durumda. Ancak umut verici sonuçlar göreceğimize inanıyoruz.”