Getty Images
Μέχρι τώρα, πιθανότατα έχετε ακούσει για μια ευπάθεια που ονομάζεται AutoSpill, η οποία μπορεί να διαρρεύσει διαπιστευτήρια από οποιονδήποτε από τους επτά κορυφαίους διαχειριστές κωδικών πρόσβασης για Android. Η απειλή που θέτει είναι πραγματική, αλλά είναι επίσης πιο περιορισμένη και πιο εύκολο να περιοριστεί από ό,τι έχει αναγνωρίσει μεγάλο μέρος της κάλυψης μέχρι σήμερα.
Αυτό το FAQ εξετάζει τις πολλές αποχρώσεις που κάνουν την AutoSpill δύσκολη για τους περισσότερους ανθρώπους (συμπεριλαμβανομένης και της δικής σας) να την κατανοήσουν. Αυτή η ανάρτηση δεν θα ήταν δυνατή χωρίς την πολύτιμη βοήθεια από Αλεσάντρο Ορτίθένας ερευνητής που ανακάλυψε μια παρόμοια ευπάθεια στο Chrome το 2020.
Ε: Τι είναι το AutoSpill;
ΕΝΑ: Αν και μεγάλο μέρος της δημοσιογραφικής κάλυψης του AutoSpill το έχει περιγράψει ως επίθεση, είναι πιο χρήσιμο να το δούμε ως ένα σύνολο μη ασφαλών συμπεριφορών που εμφανίζονται μέσα στο λειτουργικό σύστημα Android όταν ένα διαπιστευτήριο που είναι αποθηκευμένο σε έναν διαχειριστή κωδικών πρόσβασης συμπληρώνεται αυτόματα σε μια εφαρμογή που είναι εγκατεστημένη στο συσκευή. Αυτή η μη ασφαλής συμπεριφορά εκθέτει τα διαπιστευτήρια που συμπληρώνονται αυτόματα στην εφαρμογή τρίτου μέρους, η οποία μπορεί να είναι σχεδόν οποιοδήποτε είδος εφαρμογής, αρκεί να δέχεται διαπιστευτήρια για τη σύνδεση του χρήστη σε έναν λογαριασμό.
Οι διαχειριστές κωδικών πρόσβασης που επηρεάζονται με τον ένα ή τον άλλο τρόπο περιλαμβάνουν το Google Smart Lock, το Dashlane, το 1Password, το LastPass, το Enpass, το Keepass2Android και το Keeper. Άλλοι διαχειριστές κωδικών πρόσβασης ενδέχεται επίσης να επηρεαστούν, καθώς οι ερευνητές που εντόπισαν το AutoSpill περιόρισαν το ερώτημά τους σε αυτούς τους επτά τίτλους.
Το AutoSpill αναγνωρίστηκε από τους ερευνητές Ankit Gangwal, Shubham Singh και Abhijeet Srivastava του Διεθνούς Ινστιτούτου Πληροφορικής στο Hyderabad στην Ινδία. Παρουσίασαν τα ευρήματά τους Την προηγούμενη εβδομάδα στο συνέδριο ασφαλείας Black Hat στο Λονδίνο.
Ε: Εάν η εφαρμογή τρίτου μέρους επιτρέπει ή απαιτεί από έναν χρήστη να συνδεθεί σε έναν λογαριασμό, γιατί είναι πρόβλημα η αυτόματη συμπλήρωση του κωδικού πρόσβασης από έναν διαχειριστή κωδικών πρόσβασης;
ΕΝΑ: Είναι πρόβλημα μόνο σε ορισμένα σενάρια. Το ένα είναι όταν η εφαρμογή τρίτου μέρους επιτρέπει στους χρήστες να συνδεθούν σε έναν λογαριασμό χρησιμοποιώντας διαπιστευτήρια για διαφορετικό λογαριασμό. Για παράδειγμα, εκατοντάδες εφαρμογές και ιστότοποι χρησιμοποιούν ένα πρότυπο γνωστό ως OAuth να προσφέρει στους χρήστες την ευκολία σύνδεσης στους λογαριασμούς τους χρησιμοποιώντας τα διαπιστευτήρια για τους λογαριασμούς τους σε ιστότοπους όπως το Google, το Facebook ή η Apple. Ένα κύριο σημείο πώλησης αυτών των ρυθμίσεων, γνωστών ως ανάθεση πρόσβασης, είναι ότι η εφαρμογή ή η υπηρεσία τρίτου μέρους δεν βλέπει ποτέ τα διαπιστευτήρια. Το AutoSpill έχει τη δυνατότητα να παραβιάσει αυτή τη θεμελιώδη εγγύηση.
Ένας άλλος τρόπος με τον οποίο μια κακόβουλη εφαρμογή θα μπορούσε να εκμεταλλευτεί το AutoSpill θα ήταν η φόρτωση περιεχομένου WebView από έναν ιστότοπο μιας τράπεζας ή άλλης υπηρεσίας στην οποία έχει λογαριασμό ο χρήστης. Όταν η κακόβουλη εφαρμογή φορτώνει τη σελίδα σύνδεσης του αξιόπιστου ιστότοπου, θα ζητηθεί από τον χρήστη να επιλέξει διαπιστευτήρια. Εάν ο χρήστης εγκρίνει την προτροπή αυτόματης συμπλήρωσης, τα διαπιστευτήρια θα συμπληρωθούν όχι μόνο στο τμήμα WebView της κακόβουλης εφαρμογής, αλλά και στην εγγενή προβολή της εφαρμογής (περισσότερα σχετικά με τη διαφορά μεταξύ των ιδιοτήτων WebView και εγγενούς προβολής σε μια στιγμή). Και ανάλογα με τον διαχειριστή κωδικών πρόσβασης που χρησιμοποιείται, αυτή η ροή μπορεί να συμβεί χωρίς καμία προειδοποίηση.
Είναι δύσκολο να φανταστεί κανείς μια ρεαλιστική προσποίηση που θα μπορούσε να χρησιμοποιήσει η κακόβουλη εφαρμογή για να ξεγελάσει έναν χρήστη ώστε να συνδεθεί σε λογαριασμό τρίτου μέρους που δεν διαχειρίζεται ο προγραμματιστής της εφαρμογής και οι ερευνητές της AutoSpill δεν πρόσφεραν κανέναν. Μια πιθανότητα μπορεί να είναι μια κακόβουλη έκδοση μιας εφαρμογής που μεταφέρει λίστες αναπαραγωγής τραγουδιών από μια υπηρεσία μουσικής σε άλλη. Νόμιμες εφαρμογές, όπως π.χ FreeYourMusic ή Soundiiz, παρέχετε μια πολύτιμη υπηρεσία αναλύοντας μια λίστα αναπαραγωγής που είναι αποθηκευμένη στον λογαριασμό μιας υπηρεσίας, όπως το Apple Music, και στη συνέχεια δημιουργώντας μια πανομοιότυπη λίστα αναπαραγωγής για έναν λογαριασμό σε διαφορετική υπηρεσία, όπως το Tidal. Για να λειτουργήσουν όπως θέλετε, αυτές οι εφαρμογές απαιτούν τα διαπιστευτήρια και των δύο λογαριασμών.
Ένας άλλος τρόπος με τον οποίο μια κακόβουλη εφαρμογή μπορεί να εκμεταλλευτεί το AutoSpill είναι η ένεση JavaScript στο περιεχόμενο WebView που αντιγράφει τα διαπιστευτήρια και τα στέλνει στον εισβολέα. Αυτοί οι τύποι επιθέσεων ήταν γνωστοί στο παρελθόν και λειτουργούν σε ρυθμίσεις που ξεπερνούν πολύ αυτές που παρουσιάζονται από το AutoSpill.
Αυτό που δεν έχει γίνει σαφές από ορισμένες από τις καλύψεις του AutoSpill είναι ότι αποτελεί απειλή μόνο σε αυτά τα περιορισμένα σενάρια, και ακόμη και τότε, εκθέτει μόνο ένα μόνο διαπιστευτήριο σύνδεσης, συγκεκριμένα αυτό που συμπληρώνεται αυτόματα. Το AutoSpill δεν αποτελεί απειλή όταν ένας διαχειριστής κωδικών πρόσβασης συμπληρώνει αυτόματα έναν κωδικό πρόσβασης για έναν λογαριασμό που διαχειρίζεται ο προγραμματιστής ή η υπηρεσία που είναι υπεύθυνη για την εφαρμογή τρίτου μέρους—για παράδειγμα, όταν συμπληρώνει αυτόματα τα διαπιστευτήρια του Gmail στην επίσημη εφαρμογή Gmail της Google ή τα διαπιστευτήρια του Facebook στην επίσημη εφαρμογή του Facebook Εφαρμογή Android.