Менеджеры паролей могут выдать вашу личную информацию хакерам: что следует знать
Опасную уязвимость нашли в таких популярных программах, как 1Password, LastPass, Keeper и Enpass.
Некоторые популярные менеджеры паролей непреднамеренно разглашают учетные данные пользователей из-за уязвимости в функции автозаполнения приложений Android, сообщает Techcrunch. К такому выводу пришли эксперты по кибербезопасности из IIIT Hyderabad.
Издание пишет, что уязвимость AutoSpill может раскрыть учетные данные пользователей, которые хранят менеджеры паролей, обойдя защиту функции автозаполнения Android. Специалисты из IIIT Hyderabad обнаружили, что когда приложение Android загружает страницу входа в WebView, менеджеры паролей могут "дезориентироваться" в том, куда им следует направить данные для входа пользователя, и тем самым раскрыть учетные данные. Это связано с тем, что WebView, предустановленный движок от Google, позволяет разработчикам отображать веб-контент в приложении без запуска браузера, при этом генерируется запрос автозаполнения.
"Предположим, вы пытаетесь войти в музыкальное приложение на своем мобильном устройстве и используете опцию "вход через Google или Facebook". Музыкальное приложение откроет внутри себя страницу входа в Google или Facebook через WebView. Когда менеджер паролей активируется для автозаполнения учетных данных, в идеале он должен автоматически заполнять только загруженную страницу Google или Facebook. Но мы обнаружили, что операция автозаполнения может случайно раскрыть учетные данные базовому приложению", — говорят в IIIT Hyderabad.
Если базовое приложение является вредоносным, то хакеры легко могут получить доступ к конфиденциальной информации.
Исследователи протестировали уязвимость AutoSpill, используя некоторые популярные менеджеры паролей, включая 1Password, LastPass, Keeper и Enpass, на новых и современных устройствах Android. Они обнаружили, что большинство приложений уязвимы к утечке учетных данных. После активации JavaScript, все менеджеры паролей были уязвимы к уязвимости AutoSpill.
Известно, что в компании 1Password, уже работают над исправлениями уязвимости. В LastPass также предприняли необходимые меры. В Keeper об уязвимости знают, однако возможность выпуска обновлений не прокомментировали. Google и Enpass не ответили на вопросы TechCrunch.
На данный момент исследователи пытаются понять, смогут ли хакеры извлечь учетные данные из приложения в WebView. Команда также изучает, есть ли подобная уязвимость на iOS.
Ранее мы сообщали о том, что в Южной Корее расследуют возможность похищения информации о военных технологиях, включая зенитный лазер, группой северокорейских хакеров.