Güvenlik araştırmacıları, otomatik doldurma işlemi sırasında Android'de hesap kimlik bilgilerini çalmak için Autospill adını verdikleri yeni bir saldırı geliştirdiler.
Black Hat Europe Güvenlik Konferansı'ndaki bir sunumda, Haydarabad'daki Uluslararası Bilgi Teknolojileri Enstitüsü'nden (IIIT) araştırmacılar, testlerinin JavaScript enjeksiyonu olmasa bile Android için şifre yöneticilerinin çoğunun otomatik olarak savunmasız olduğunu gösterdiğini söyledi.
Android uygulamaları, kullanıcıları ana tarayıcıya yeniden yönlendirmek yerine, küçük ekran cihazlarda daha hantal bir deneyim olacak olan uygulamadaki oturum açma sayfaları gibi web içeriği oluşturmak için webView denetimlerini kullanır.
Android'deki şifre yöneticileri, bir uygulama oturum açma sayfasını Apple, Facebook, Microsoft veya Google gibi hizmetlere yüklediğinde, bir kullanıcının hesap kimlik bilgilerini otomatik olarak yazmak için platformun WebView çerçevesini kullanır.
Araştırmacılar, JavaScript enjeksiyonu olmasa bile, çağırma uygulamasındaki otomatik dolu kimlik bilgilerini yakalamak için bu süreçteki zayıflıklardan yararlanmanın mümkün olduğunu söyledi.
JavaScript enjeksiyonları etkinleştirilirse, araştırmacılar Android'deki tüm şifre yöneticilerinin otomatik atık saldırısına karşı savunmasız olduğunu söylüyor.
Özellikle, Autospill sorunu, Android’in otomatik dolu verilerin güvenli bir şekilde ele alınması veya ana bilgisayar uygulaması tarafından yakalanmasına neden olabilecek otomatik dolu verilerin güvenli bir şekilde ele alınması sorumluluğunu tanımlamaması veya açıkça tanımlamasından kaynaklanmaktadır.
Bir saldırı senaryosunda, bir oturum açma formu sunan haydut bir uygulama, uzlaşmanın herhangi bir göstergesini bırakmadan kullanıcının kimlik bilgilerini yakalayabilir. Otomatik saldırı ile ilgili ek teknik detaylar, Black Hat Europe sunumundan araştırmacıların slaytlarında mevcuttur.
Otomatik saldırı hakkında daha fazla ayrıntı, Blackhat sunumundan slaytlar içeren bu belgede bulunabilir.
Araştırmacılar, Autospill'i Android 10, 11 ve 12'de bir dizi şifre yöneticisine karşı test ettiler ve 1spassword 7.9.4, LastPass 5.11.0.9519, Encass 6.8.2.666, kaleci 16.4.3.1048 ve Keepass2android 1.09C-R0, Android'in otomatik doldurma çerçevesini kullanması nedeniyle saldırılar.
Google Smart Lock 13.30.8.26 ve Dashlane 6.2221.3, otomatik doldurma işlemi için farklı bir teknik yaklaşım izledi. JavaScript enjeksiyonu kullanılmadığı sürece ana bilgisayar uygulamasına duyarlı verileri sızdırmadılar.
Araştırmacılar bulgularını etkileyen yazılım satıcılarına ve Android’in güvenlik ekibine açıkladılar ve sorunu ele alma önerilerini paylaştılar. Raporları geçerli olarak kabul edildi, ancak düzeltme planları hakkında hiçbir ayrıntı paylaşılmadı.
BleepingComputer, Autospill ve Google'dan etkilenen birden fazla şifre yönetimi ürün sağlayıcısıyla temasa geçti ve sorunu ele alma planlarını sordu ve şu ana kadar aşağıdaki yorumları aldık:
Birçok kişi, kimlik bilgilerini hızlı ve kolay bir şekilde girmek için otomatik olarak kullanmaya alışkın hale geldi. Kullanıcının cihazına yüklenen kötü amaçlı bir uygulama aracılığıyla, bir hacker kullanıcının kimlik bilgilerini istemeden otomatikleştirmesine yol açabilir. Autospill bu sorunu vurgular.
Müşterilerimizin en önemli verilerini güvende tutmak, 1Password'deki en yüksek önceliğimizdir. Autospill için bir düzeltme tespit edildi ve şu anda üzerinde çalışılıyor.
Düzeltme güvenlik duruşumuzu daha da güçlendirirken, 1Password’in otomatik doldurma işlevi, kullanıcının açık işlem yapmasını gerektirecek şekilde tasarlanmıştır.
Güncelleme, yerel alanların yalnızca Android’in WebView için tasarlanmış kimlik bilgileriyle doldurulmasını önleyerek ek koruma sağlayacaktır. - Pedro Canahuati, CTO 1spassword
2022'de Dr. Gangwal ile Bug Bounty program ortağımız Bugcrowd aracılığıyla uğraştık. Gönderdiği bulguları analiz ettik ve sömürülmesi için gereken mekanizmalar nedeniyle düşük riskli bir güvenlik açığı olarak bulduk.
Burada not edilmesi gereken önemli olan, bu güvenlik açığının, hedef cihaza tam bir uzlaşmayı veya hedeflenen cihazda kod yürütme yeteneğini gösteren kötü amaçlı bir uygulama yükleme yeteneği ve fırsatını gerektirmesidir.
Dr. Gangwal’ın bulgularını almadan önce, LastPass, uygulama istismardan yararlanma girişimi tespit ettiğinde, ürün içi açılır uyarı ile zaten bir hafifletme yaptı. Bulguları analiz ettikten sonra, pop-up'a daha bilgilendirici ifadeler ekledik.
Bu güncellemeyi Dr. Gangwal ile doğruladık, ancak güncellememizin herhangi bir onayını almadık. - LastPass sözcüsü
31 Mayıs 2022'de Keeper, araştırmacıdan potansiyel bir kırılganlık hakkında bir rapor aldı. Bildirilen sorunu göstermesi için araştırmacıdan bir video istedik. Analizimize dayanarak, araştırmacının önce kötü amaçlı bir uygulama yüklediğini belirledik ve daha sonra kaleci tarafından kötü niyetli uygulamanın bir kaleci şifre kaydıyla ilişkisini zorlama istemini kabul ettik.
Keeper, kullanıcıları otomatik olarak kimlik bilgilerini güvenilmeyen bir uygulamaya veya kullanıcı tarafından yetkilendirilmemiş bir siteye doldurmaya karşı korumak için güvencelere sahiptir. Android platformunda Keeper, kimlik bilgilerini bir Android uygulamasına veya web sitesine otomatikleştirmeye çalışırken kullanıcıyı ister. Kullanıcıdan, herhangi bir bilgiyi doldurmadan önce uygulamanın kaleci şifre kaydıyla ilişkisini onaylaması istenir. 29 Haziran'da araştırmacıya bu bilgiler hakkında bilgi verdik ve ayrıca Android platformuyla ilgili olduğu için raporunu Google'a göndermesini tavsiye ettik.
Genel olarak, kötü niyetli bir Android uygulamasının önce Google tarafından gözden geçirilen ve daha sonra Google Play Store'a yayınlanması için onaylanan Google Play Store'a gönderilmesi gerekecektir. Daha sonra kullanıcının kötü amaçlı uygulamayı Google Play'den yüklemesi ve uygulamayla işlem yapması gerekir. Alternatif olarak, kullanıcının kötü amaçlı bir uygulamayı kenar yüklemek için cihazlarındaki önemli güvenlik ayarlarını geçersiz kılması gerekir.
Keeper her zaman bireylerin yükledikleri uygulamalar konusunda temkinli ve uyanık olmalarını önerir ve yalnızca Google Play Store gibi güvenilir uygulama mağazalarından yayınlanmış Android uygulamaları yüklemelidir. - Craig Lurey, CTO ve Keeper Security'nin kurucu ortağı
WebView, uygulamalarında kendi hizmetleri için oturum açma sayfalarını barındırmayı içeren Android geliştiricileri tarafından çeşitli şekillerde kullanılır. Bu sorun, şifre yöneticilerinin web görünümleriyle etkileşime girerken otomatik doldurma API'lerinden nasıl yararlandığı ile ilgilidir.
Üçüncü taraf şifre yöneticilerinin şifrelerin nereye girildiği konusunda hassas olmasını öneririz ve tüm şifre yöneticilerinin uygulamasını önerdiğimiz WebView en iyi uygulamalarımız var. Android, şifre yöneticilerine yerel görünümler ve web görünümleri arasında ayrım yapmak için gerekli bağlamı ve ayrıca yüklenen WebView'in barındırma uygulamasıyla ilgili olup olmadığını sağlar.
Örneğin, Android'de AutoFill için Google Parola Yöneticisi'ni kullanırken, kullanıcılar Google'ın barındırma uygulamasına ait olmayabileceğini belirleyen bir etki alanı için bir şifre giriyorlarsa uyarılır ve şifre yalnızca uygun alanda doldurulur. Google, WebView aracılığıyla girişler için sunucu yan korumalarını uygular. - Google Sözcüsü
Google Play, Android VPN uygulamaları için güvenlik denetim rozetleri ekliyor
Avast, Google uygulamasını Android telefonlarda kötü amaçlı yazılım olarak etiketlediğini doğrular
Huawei, Vivo Telefonlar Google Uygulamasını Trojansms-Pa kötü amaçlı yazılım olarak etiketle
Google Play'de Android Adware uygulamaları iki milyon yükleme topladı
Fjordphantom Android kötü amaçlı yazılım, tespitten kaçınmak için sanallaştırma kullanır
Kaynak: Bleeping Computer