AutoSpill est un cauchemar de sécurité qui affecte même les appareils Android les plus récents
Pourquoi est-ce important: L’utilisation de gestionnaires de mots de passe s’est accélérée ces dernières années, et même si c’est un bon moyen de protéger votre sécurité en ligne, ce n’est en aucun cas une solution parfaite. De nouvelles recherches ont révélé qu’une simple vulnérabilité Android peut potentiellement exposer vos informations d’identification à des applications malveillantes, en particulier dans les scénarios où une page Web est chargée dans une application et vous demande de vous connecter pour afficher son contenu.
Plusieurs gestionnaires de mots de passe mobiles largement utilisés divulguent par inadvertance les informations d’identification des appareils Android en raison d’une vulnérabilité récemment découverte dans le mécanisme de remplissage automatique WebView utilisé par de nombreuses applications Android.
Les chercheurs de l’Institut indien de technologie d’Hyderabad qui ont découvert la faille l’appellent « AutoSpill », un nom approprié car il expose automatiquement les informations d’identification des gestionnaires de mots de passe mobiles et contourne les mesures de sécurité de la fonctionnalité de saisie automatique d’Android.
Anti Gangwal et ses étudiants Abhijeet Srivastava et Shubham Singh ont publié leurs conclusions dans un article et les ont présentées lors de la conférence Black Hat Europe en cours à Londres. Gangwal explique que les gestionnaires de mots de passe peuvent être « désorientés » lorsqu’ils doivent remplir automatiquement les informations d’identification dans les applications qui chargent des pages Web à l’aide du moteur WebView de Google.
Un exemple courant serait celui des applications qui permettent de se connecter via votre compte Facebook ou Google pour rendre le processus d’inscription plus rapide et plus pratique. Lorsque le gestionnaire de mots de passe est invité à renseigner les informations d’identification, le comportement attendu est qu’il les remplira automatiquement dans les champs droits de l’interface WebView. Cependant, cela exposera parfois vos informations d’identification à l’application de base.
Même si cela ne semble pas très grave, il existe un risque important que des applications malveillantes se faisant passer pour des applications de divertissement ou des utilitaires légitimes puissent récupérer les informations d’identification d’utilisateurs Android sans méfiance et les utiliser pour accéder à des informations sensibles. Google supprime régulièrement ces applications de Google Play, mais souvent après qu’elles aient déjà été téléchargées par des centaines de milliers d’utilisateurs.
Les chercheurs ont testé plusieurs gestionnaires de mots de passe mobiles populaires tels que LastPass, 1Password, Enpass et Keeper en utilisant des appareils Android exécutant les dernières mises à jour de sécurité. Ce qu’ils ont découvert, c’est que presque toutes les applications étaient vulnérables aux fuites d’informations d’identification malgré la désactivation de l’injection JavaScript. Lors de l’activation de l’injection JavaScript, tous les gestionnaires de mots de passe mobiles testés sont devenus sensibles à AutoSpill.
Ces résultats sont particulièrement préoccupants si l’on considère que les gestionnaires de mots de passe ont connu une croissance significative du nombre d’utilisateurs ces dernières années. Aux États-Unis, on estime que 34 % des personnes utilisent des gestionnaires de mots de passe cette année, contre 21 % en 2022. La vulnérabilité AutoSpill ne nécessite aucun hameçonnage ni tromperie de l’utilisateur, ce qui la rend facile à exploiter par un acteur malveillant.
La bonne nouvelle est que Gangwal estime qu’il existe peu de preuves d’une exploitation d’AutoSpill dans la nature. Cependant, lorsqu’il a contacté les développeurs des gestionnaires de mots de passe testés, l’un d’entre eux n’a pas répondu malgré de nombreuses tentatives, tandis que la plupart des autres sociétés ont simplement renvoyé le problème à Google.
Quant à Google, la société a marqué le bug AutoSpill comme priorité 2 et gravité 2 et travaille actuellement sur un correctif. 1Password est la seule entreprise à avoir déclaré à Gangwal qu’elle trouverait sa propre solution pour AutoSpill.
Il existe des moyens pour les gestionnaires de mots de passe d’atténuer le risque de fuite d’informations d’identification en associant un domaine Web aux champs de saisie pour créer un couplage plus sécurisé, mais Gangwal estime en fin de compte que la meilleure solution serait de supprimer complètement les mots de passe et de promouvoir l’utilisation de clés d’accès pour les utilisateurs. authentification sans mot de passe.
Crédit en-tête : Mika Baumeister
Jeu de briques
Snake
Pacman
Bubble