AutoSpill aanval steelt gegevens van Android wachtwoordmanagers

AutoSpill aanval steelt gegevens van Android wachtwoordmanagers​

Door Bill Toulas
Dit artikel komt van Bleeping Computer

Android-leak.jpg


Beveiligingsonderzoekers hebben een nieuwe aanval ontwikkeld, die ze AutoSpill hebben genoemd, om accountgegevens op
Android te stelen tijdens het automatisch aanvullen.

In een presentatie op de Black Hat Europe beveiligingsconferentie zeiden onderzoekers van het International Institute of Information
Technology (IIIT) in Hyderabad dat hun tests aantoonden dat de meeste wachtwoordmanagers voor Android kwetsbaar zijn voor
AutoSpill, zelfs als er geen JavaScript-injectie is.

Hoe AutoSpill werkt

Android apps gebruiken vaak WebView-besturingselementen om webinhoud te renderen, zoals inlogpagina's binnen de app, in plaats
van de gebruikers door te sturen naar de hoofdbrowser, wat een omslachtigere ervaring zou zijn op apparaten met een klein scherm.

Wachtwoordbeheerders op Android gebruiken het WebView-framework van het platform om automatisch de accountgegevens van
een gebruiker in te voeren wanneer een app de inlogpagina laadt voor diensten als Apple, Facebook, Microsoft of Google.

login.png

Inloggen op een universiteitsportaal met een Microsoft-account

De onderzoekers zeggen dat het mogelijk is om zwakheden in dit proces uit te buiten om de automatisch ingevulde gegevens vast
te leggen op de app die de aanval uitvoert, zelfs zonder JavaScript-injectie.

Als JavaScript-injecties zijn ingeschakeld, zijn volgens de onderzoekers alle wachtwoordmanagers op Android kwetsbaar voor de
AutoSpill-aanval.

1.png

Interne structuur van autofill beheer op Android

Specifiek komt het AutoSpill-probleem voort uit het falen van Android om de verantwoordelijkheid voor de veilige afhandeling van
de automatisch ingevulde gegevens af te dwingen of duidelijk te definiëren, wat kan resulteren in het lekken ervan of het worden
vastgelegd door de host-app.

2.png

Processtroom van de autofill service

In een aanvalsscenario zou een malafide app die een inlogformulier serveert, de gegevens van de gebruiker kunnen vastleggen
zonder enige indicatie van de compromittering achter te laten. Aanvullende technische details over de AutoSpill-aanval zijn
beschikbaar in de dia's van de onderzoekers van de Black Hat Europe-presentatie.

Meer details over de AutoSpill-aanval zijn te vinden in dit document, dat dia's bevat van de BlackHat-presentatie.

Impact en oplossing

De onderzoekers hebben AutoSpill getest tegen een selectie van wachtwoordmanagers op Android 10, 11 en 12 en ontdekten
dat 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 en Keepass2Android 1.09c-r0 gevoelig zijn voor
aanvallen door het gebruik van Android's autofill framework.

Google Smart Lock 13.30.8.26 en DashLane 6.2221.3 volgden een andere technische aanpak voor het autofill proces.
Ze lekten geen gevoelige gegevens naar de host-app, tenzij JavaScript-injectie werd gebruikt.

results.png

Testresultaten: (U - gebruikersnaam gelekt), (P - wachtwoord gelekt), (X - werkt niet), (✓ - veilig voor AutoSpill)

De onderzoekers maakten hun bevindingen bekend aan softwareverkopers en het beveiligingsteam van Android en deelden hun
voorstellen om het probleem aan te pakken. Hun rapport werd als geldig erkend, maar er werden geen details over
reparatieplannen gedeeld.

BleepingComputer heeft contact opgenomen met meerdere leveranciers van wachtwoordbeheerproducten, die beïnvloed worden
door AutoSpill, evenals met Google, om te vragen naar hun plannen om het probleem aan te pakken en tot nu toe hebben we de
volgende reacties ontvangen:

Veel mensen zijn gewend geraakt aan het gebruik van autofill om snel en gemakkelijk hun gegevens in te
voeren. Via een kwaadaardige app die op het apparaat van de gebruiker is geïnstalleerd, kan een hacker een
gebruiker ertoe aanzetten om onbedoeld zijn gegevens automatisch in te vullen. AutoSpill benadrukt dit
probleem.

Het veilig houden van de belangrijkste gegevens van onze klanten is onze hoogste prioriteit bij 1Password.
Een oplossing voor AutoSpill is geïdentificeerd en er wordt momenteel aan gewerkt.

Hoewel de fix onze beveiliging verder zal versterken, is de autofill-functie van 1Password ontworpen om de
gebruiker expliciete actie te laten ondernemen.

De update biedt extra bescherming door te voorkomen dat native velden worden gevuld met referenties die
alleen bedoeld zijn voor Android's WebView. - 1Password woordvoerder

In 2022 hebben we contact opgenomen met Dr. Gangwal via Bugcrowd, onze partner voor het
bug bounty-programma. We hebben de bevindingen die hij indiende geanalyseerd en vonden het een
kwetsbaarheid met een laag risico vanwege de mechanismen die nodig zijn om er misbruik van te maken.

Wat belangrijk is om op te merken, is dat deze kwetsbaarheid de mogelijkheid vereist om een kwaadaardige
app te installeren op het doelapparaat, wat zou duiden op een volledige compromittering of de mogelijkheid
om code uit te voeren op het doelapparaat.

Voordat we de bevindingen van Dr. Gangwal ontvingen, had LastPass al een beperking ingesteld via een
pop-upwaarschuwing in het product wanneer de app een poging tot misbruik detecteerde.
Na het analyseren van de bevindingen hebben we meer informatieve tekst toegevoegd aan de pop-up.

We hebben deze update bevestigd aan Dr. Gangwal, maar hebben geen bevestiging van onze update ontvangen.
- LastPass woordvoerder

Op 31 mei 2022 ontving Keeper een rapport van de onderzoeker over een mogelijke kwetsbaarheid. We vroegen
de onderzoeker om een video om het gemelde probleem te demonstreren. Op basis van onze analyse stelden
we vast dat de onderzoeker eerst een schadelijke toepassing had geïnstalleerd en vervolgens een prompt van
Keeper had geaccepteerd om de koppeling van de schadelijke toepassing aan een wachtwoordrecord van Keeper
te forceren.

Keeper heeft beveiligingen om gebruikers te beschermen tegen het automatisch invullen van referenties in een
niet-vertrouwde toepassing of een site die niet expliciet is geautoriseerd door de gebruiker.
Op het Android-platform vraagt Keeper de gebruiker, wanneer wordt geprobeerd automatisch referenties in te
vullen in een Android-toepassing of -website. De gebruiker wordt gevraagd om de koppeling van de toepassing
aan de wachtwoordrecord van Keeper te bevestigen, voordat hij gegevens invult.
Op 29 juni hebben we de onderzoeker op de hoogte gesteld van deze informatie en hem ook aangeraden zijn
rapport in te dienen bij Google, omdat het specifiek betrekking heeft op het Android-platform.

Over het algemeen moet een schadelijke Android-applicatie eerst worden ingediend bij de Google Play Store,
beoordeeld door Google en vervolgens goedgekeurd voor publicatie in de Google Play Store.
De gebruiker moet dan de schadelijke applicatie installeren vanuit Google Play en transacties uitvoeren met de
applicatie. Als alternatief zou de gebruiker belangrijke beveiligingsinstellingen op zijn apparaat moeten omzeilen
om een kwaadwillige applicatie te kunnen sideloaden.

Keeper raadt mensen altijd aan voorzichtig en waakzaam te zijn met de applicaties, die ze installeren en alleen
gepubliceerde Android-applicaties te installeren vanuit vertrouwde app-winkels zoals de Google Play Store.
- Craig Lurey, CTO en medeoprichter van Keeper Security

WebView wordt op verschillende manieren gebruikt door Android-ontwikkelaars, waaronder het hosten van
aanmeldpagina's voor hun eigen services in hun apps. Dit probleem heeft te maken met de manier waarop
wachtwoordbeheerders de autofill API's gebruiken bij interactie met WebViews.

We raden wachtwoordbeheerders van derden aan gevoelig te zijn voor waar wachtwoorden worden ingevoerd
en we hebben best practices voor WebViews die we alle wachtwoordbeheerders aanraden te implementeren.
Android biedt wachtwoordbeheerders de vereiste context, om onderscheid te maken tussen native weergaven
en WebViews en ook of de WebView, die wordt geladen niet gerelateerd is aan de host-app.

Wanneer gebruikers bijvoorbeeld de Google Password Manager gebruiken voor autofill op Android, worden ze
gewaarschuwd als ze een wachtwoord invoeren voor een domein waarvan Google vaststelt dat het geen eigendom
is van de host-app, en wordt het wachtwoord alleen in het juiste veld ingevuld.
Google implementeert beveiligingen aan de serverzijde voor aanmeldingen via WebView.
- Woordvoerder van Google
 
Terug
Bovenaan Onderaan