Birçok mobil şifre yöneticisi, Android uygulamalarının otomatik doldurma özelliğinde keşfedilen bir güvenlik açığı nedeniyle kullanıcı kimlik bilgilerini sızdırıyor.
AutoSpill adı verilen bu kusur, geçen hafta düzenlenen Black Hat Europe 2023 konferansı sırasında Haydarabad Uluslararası Bilgi Teknolojileri Enstitüsü’nden bir araştırmacı ekibi tarafından bildirildi.
Bu güvenlik açığı, Android’in WebView aracılığıyla bir oturum açma sayfasını çağırması durumunda ortaya çıkar. (WebView, bir web tarayıcısını açmadan web içeriğini görüntülemenizi sağlayan bir Android bileşenidir). Bu durumda WebView, Android uygulamalarının söz konusu web sayfasının içeriğini görüntülemesine olanak tanır.
Akılda tutulması gereken bir şey, araştırmacıların donanım üzerinde test ettiğidir.
Şimdiye kadar, çok iyi. Ancak karışıma bir parola yöneticisi eklendiğinde WebView ile paylaşılan kimlik bilgileri, başlangıçta kullanıcı adı ve parolayı talep eden uygulamayla da paylaşılabilir. Orijinal uygulama güvenilirse her şey yolunda olmalıdır. Ancak bu uygulama güvenilmezse işler çok ters gidebilir.
Etkilenen şifre yöneticileri şunlardır:
- 1Şifre
- Son Geçiş
- Geçmek
- Kaleci
- Keepass2Android
Ayrıca, kimlik bilgileri bir JavaScript ekleme yöntemi aracılığıyla paylaşıldıysa, DashLane ve Google Akıllı Kilit güvenlik açığından da etkilenir.
Bu güvenlik açığının doğası gereği uygulamada phishing veya kötü amaçlı kod kullanılmasına gerek yoktur.
Akılda tutulması gereken bir nokta da araştırmacıların bunu çok yaygın donanım ve yazılım üzerinde test etmiş olmasıdır.
Özellikle güvenlik açığını şu üç cihazda test ettiler:
- Poco F1
- Samsung Galaxy Tab S6 Lite
- Samsung Galaksi A52.
Testlerinde kullanılan Android sürümleri Android 0 (Aralık 2020 güvenlik yaması ile), Android 11 (Ocak 2022 güvenlik yaması ile) ve Android 12 (Nisan 2022 güvenlik yaması ile) idi.
Test edilen bu cihazların yanı sıra işletim sistemi ve güvenlik yamaları da güncel olmadığından, güvenlik açığının Android’in daha yeni sürümlerini etkileyip etkilemeyeceğinden emin olmak zor.
Ancak grubun test ettiği cihazdan farklı bir cihaz kullanıyor olsanız bile bu, bu güvenlik açığını göz ardı etmeniz gerektiği anlamına gelmez. Bunun yerine, Android işletim sisteminizin ve yüklü uygulamalarınızın her zaman güncel olduğunu hatırlatması gerekir. WebView sistemi her zaman inceleme altındadır ve bu yazılıma yapılan güncellemeler her zaman güncel tutulmalıdır. Bunun için cihazınızda Google Play Store’u açabilir, WebView’ı aratabilir, Bu uygulama hakkında’ya dokunabilir ve en son sürümü cihazınızda yüklü olan sürümle karşılaştırabilirsiniz.
Değilse güncelleme yapmanız gerekecektir.
Android’i güvende tutmanın en iyi yollarından biri, onun her zaman mümkün olduğunca güncel olduğundan emin olmaktır. İşletim sistemi ve uygulama güncellemelerini günlük olarak kontrol edin ve mevcut olanları uygulayın.
Kaynak : “ZDNet.com”
