Менеджери паролів можуть видати вашу особисту інформацію хакерам: що слід знати

хакер, смартфон, телефон
Фото: Getty Images | Менеджери паролів можуть зливати дані користувачів через уразливість AutoSpill

Небезпечну вразливість знайшли в таких популярних програмах як 1Password, LastPass, Keeper і Enpass.

Деякі популярні менеджери паролів ненавмисно розголошують облікові дані користувачів через уразливість у функції автозаповнення додатків Android, повідомляє Techcrunch. Такого висновку дійшли експерти з кібербезпеки з IIIT Hyderabad.

Видання пише, що вразливість AutoSpill може розкрити облікові дані користувачів, які зберігають менеджери паролів, обійшовши захист функції автозаповнення Android. Фахівці з IIIT Hyderabad виявили, що коли додаток Android завантажує сторінку входу у WebView, менеджери паролів можуть "дезорієнтуватися" в тому, куди їм слід направити дані для входу користувача, і так розкрити облікові дані. Це пов'язано з тим, що WebView, попередньо встановлений рушій від Google, дає змогу розробникам відображати вебконтент у застосунку без запуску браузера, водночас генерується запит автозаповнення.

"Припустимо, ви намагаєтеся увійти в музичний застосунок на своєму мобільному пристрої та використовуєте опцію "вхід через Google або Facebook". Музичний додаток відкриє всередині себе сторінку входу в Google або Facebook через WebView. Коли менеджер паролів активується для автозаповнення облікових даних, в ідеалі він повинен автоматично заповнювати тільки завантажену сторінку Google або Facebook. Але ми виявили, що операція автозаповнення може випадково розкрити облікові дані базовому застосунку", — кажуть у IIIT Hyderabad.

Якщо базовий додаток є шкідливим, то хакери легко можуть отримати доступ до конфіденційної інформації.

Важливо
Мільярдам смартфонів загрожує ПЗ, що краде гроші: дві помилки, які ведуть до катастрофи

Дослідники протестували вразливість AutoSpill, використовуючи деякі популярні менеджери паролів, включно з 1Password, LastPass, Keeper і Enpass, на нових і сучасних пристроях Android. Вони виявили, що більшість додатків уразливі до витоку облікових даних. Після активації JavaScript усі менеджери паролів були вразливі до AutoSpill.

Відомо, що в компанії 1Password уже працюють над виправленнями вразливості. У LastPass також вжили необхідних заходів. У Keeper про вразливість знають, однак можливість випуску оновлень не прокоментували. Google і Enpass не відповіли на запитання TechCrunch.

Наразі дослідники намагаються зрозуміти, чи зможуть хакери витягти облікові дані з застосунку у WebView. Команда також вивчає, чи є подібна вразливість на iOS.

Раніше ми повідомляли про те, що в Південній Кореї розслідують можливість викрадення інформації про військові технології, включно із зенітним лазером, групою північнокорейських хакерів.