Pesquisadores de segurança descobriram uma grande vulnerabilidade que afeta a função de preenchimento automático do Android e expõe as credenciais dos gerenciadores de senhas. A vulnerabilidade AutoSpill permite que hackers ignorem os mecanismos de segurança do preenchimento automático em dispositivos Android, expondo as credenciais para o aplicativo hospedeiro que as solicita.
O que é a vulnerabilidade do gerenciador de senhas AutoSpill no Android?
Os pesquisadores Ankit Gangwal, Shubham Singh e Abhijeet Srivastava do Instituto Internacional de Tecnologia da Informação de Hyderabad apresentaram suas descobertas em 6 de dezembro na conferência de hackers Black Hat Europe. A vulnerabilidade AutoSpill ocorre quando um aplicativo Android solicita uma página de login usando o WebView. Esse componente padrão pré-instalado do Google permite que os aplicativos Android exibam conteúdo da web. Os desenvolvedores de aplicativos mostram o conteúdo da web dentro do WebView para evitar a necessidade de executar um navegador da web separado. Em vez disso, a função de preenchimento automático é ativada e solicita as credenciais de login em questão. Até aqui, tudo bem. As coisas ficam um pouco, na verdade, muito piores quando essas credenciais são preenchidas após a invocação de um gerenciador de senhas.
O que deveria acontecer é que as credenciais sejam inseridas automaticamente no campo de login da página que está sendo carregada. No entanto, e é aí que se torna muito preocupante para a maioria dos usuários de smartphones Android, essas credenciais também podem ser compartilhadas com o próprio aplicativo hospedeiro. Os pesquisadores afirmam que isso inclui exemplos comuns, como “abrir links em aplicativos móveis do Skype ou Gmail”, e também “o botão Fazer login com Apple/Facebook/Google para autenticação do usuário em um aplicativo móvel de terceiros”.
Quais gerenciadores de senhas são vulneráveis ao AutoSpill?
Alguns dos gerenciadores de senhas mais populares foram encontrados vulneráveis a um exploit de AutoSpill. Isso inclui o 1Password, LastPass, Enpass, Keeper e Keepass2Android. Quando um método de injeção de JavaScript estava habilitado, o DashLane e o Google Smart Lock também eram suscetíveis a esse ataque de roubo de credenciais. Embora não existam evidências de exploração do AutoSpill até o momento, os pesquisadores ressaltam que as ramificações do AutoSpill são altamente perigosas. Eles afirmam que um aplicativo malicioso projetado para coletar credenciais ao se passar por um utilitário inofensivo não precisaria conter nenhum código malicioso no próprio aplicativo. Isso significa que ele poderia ser disponibilizado na loja oficial de aplicativos. “Apresentamos com responsabilidade nossas descobertas aos gerenciadores de senhas afetados e à equipe de segurança do Android. Vários gerenciadores de senhas e o Google aceitaram nosso trabalho como uma questão válida”, disseram os pesquisadores.
Pedro Canahuati, diretor de tecnologia da 1Password, afirmou que a função de preenchimento automático do 1Password foi projetada para exigir uma ação explícita do usuário e que uma correção estava em desenvolvimento. “A atualização fornecerá proteção adicional, impedindo que os campos nativos sejam preenchidos com credenciais destinadas somente ao WebView do Android”, disse ele.
O diretor de tecnologia do Keeper, Craig Lurey, disse: “Na plataforma Android, o Keeper solicita permissão do usuário ao tentar preencher automaticamente credenciais em um aplicativo Android ou site. Em 29 de junho, informamos ao pesquisador sobre essas informações e também recomendamos que ele enviasse seu relatório para o Google, já que está relacionado especificamente à plataforma Android”.
Alex Cox, diretor de inteligência de ameaças da equipe de mitigação e escalonamento do LastPass, disse ao TechCrunch que “o LastPass já tinha uma mitigação em vigor por meio de um aviso pop-up no próprio aplicativo quando ele detectava uma tentativa de aproveitar o exploit. Após analisar as descobertas, acrescentamos informações mais esclarecedoras no pop-up”.
Um porta-voz do Google disse ao Bleeping Computer que “esse problema está relacionado à forma como os gerenciadores de senhas aproveitam as APIs de preenchimento automático ao interagir com WebViews. Recomendamos que os gerenciadores de senhas de terceiros sejam sensíveis quanto aos locais em que as senhas estão sendo inseridas, e temos práticas recomendadas para WebViews que recomendamos que todos os gerenciadores de senhas implementem”.
Um representante do Enpass me informou que “Ankit Gangwal, da equipe de pesquisa do Instituto Indiano de Tecnologia da Informação, entrou em contato com a gente em junho de 2022 sobre a vulnerabilidade AutoSpill no framework de preenchimento automático do Android. Essa vulnerabilidade foi corrigida na versão 6.8.3 do Enpass, lançada em 29 de setembro de 2022”.
Estou entrando em contato com os desenvolvedores do Keepass2Android.
