Pesquisadores de segurança do Instituto Internacional de Tecnologia da Informação (IIIT) de Hyderabad revelaram um novo método de ataque chamado AutoSpill, que visa roubar credenciais de gerenciadores de senhas em dispositivos Android. A descoberta foi apresentada durante a conferência Black Hat Europe, onde os especialistas destacaram a vulnerabilidade na operação de preenchimento automático em aplicativos Android.
Como funciona o AutoSpill
Os aplicativos Android comumente utilizam controles WebView para renderizar conteúdo da web, como páginas de login, dentro do próprio aplicativo. Isso simplifica a experiência do usuário em dispositivos móveis. Os gerenciadores de senhas para Android aproveitam a estrutura WebView para preencher automaticamente as credenciais do usuário em serviços como Apple, Facebook, Microsoft e Google.
Os pesquisadores apontam que o AutoSpill explora as fragilidades desse processo, capturando credenciais automaticamente preenchidas no aplicativo invocador, mesmo sem a injeção de JavaScript. Caso as injeções de JavaScript estejam ativadas, todos os gerenciadores de senhas no Android se tornam vulneráveis ao AutoSpill.
A falha específica do AutoSpill decorre da falta de imposição clara de responsabilidade pelo manuseio seguro dos dados preenchidos automaticamente pelo Android, possibilitando o vazamento ou a captura pelo aplicativo host.
Impacto e soluções
Os pesquisadores testaram o AutoSpill em diversos gerenciadores de senhas nas versões 10, 11 e 12 do Android. Identificaram que 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 e Keepass2Android 1.09c-r0 são suscetíveis ao ataque devido ao uso da estrutura de preenchimento automático do Android.
O Google Smart Lock 13.30.8.26 e o DashLane 6.2221.3 adotaram uma abordagem diferente, não vazando dados confidenciais para o aplicativo host, a menos que haja injeção de JavaScript.
Os pesquisadores comunicaram suas descobertas aos fornecedores afetados e à equipe de segurança do Android, sem divulgar detalhes sobre os planos de reparo.
Respostas dos fornecedores
O BleepingComputer contatou vários fornecedores afetados pelo AutoSpill, incluindo o Google, buscando informações sobre seus planos de resolução. Abaixo estão as declarações recebidas até o momento:
- 1Password: “Uma correção para AutoSpill foi identificada e está sendo trabalhada. A atualização fornecerá proteção adicional, evitando que campos nativos sejam preenchidos com credenciais destinadas apenas ao WebView do Android.”
- LastPass: “O LastPass já tinha uma mitigação em vigor por meio de um aviso pop-up no produto quando detectava uma tentativa de exploração. Após analisar as descobertas, adicionamos palavras mais informativas ao pop-up.”
- Keeper Security: “O pesquisador instalou primeiro um aplicativo malicioso e, posteriormente, aceitou uma solicitação do Keeper para forçar a associação do aplicativo malicioso a um registro de senha do Keeper.”
- Google: “Recomendamos que gerenciadores de senhas de terceiros sejam sensíveis ao local onde as senhas estão sendo inseridas e temos práticas recomendadas do WebView que recomendamos que todos os gerenciadores de senhas implementem.”
Os fornecedores estão trabalhando para corrigir as vulnerabilidades e reforçar as medidas de segurança em seus produtos. A questão destaca a importância de manter a vigilância contra aplicativos maliciosos e ressalta a necessidade de práticas seguras no uso de gerenciadores de senhas no Android.
O CTO da Keeper Security, Craig Lurey, recomenda cautela ao instalar aplicativos e enfatiza a importância de obter apps apenas de lojas confiáveis, como a Google Play Store.
O Google, por sua vez, sugere que os gerenciadores de senhas sejam sensíveis ao contexto de preenchimento automático, distinguindo entre visualizações nativas e WebViews.