As menaxherët e fjalëkalimeve nuk ndihmojnë: AutoSpill vjedh të dhënat e përdoruesit

Është krijuar një sulm i ri me qëllim të keq që mund të vjedhë kredencialet e përdoruesve të Android gjatë veprimeve "autofill".

Në një prezantim në konferencën e sigurisë Black Hat Europe, studiuesit e sigurisë kibernetike nga Instituti Ndërkombëtar i Teknologjisë së Informacionit (IIIT) vunë në dukje se ata kanë zhvilluar një sulm të ri me qëllim të keq, të quajtur AutoSpill, që sulmon menaxherët e fjalëkalimeve.

Testet e tyre tregojnë se shumica e menaxherëve të fjalëkalimeve të Android janë të cenueshëm ndaj cenueshmërisë AutoSpill, edhe nëse nuk ka injeksion JavaScript.

Menaxherët e fjalëkalimeve të Android përdorin kornizën WebView për të futur automatikisht kredencialet e një përdoruesi në një llogari kur aplikacioni ngarkon një faqe identifikimi për shërbime të tilla si Apple, Facebook, Microsoft ose Google.

Studiuesit e sigurisë thonë se është e mundur të shfrytëzohet një dobësi në këtë proces për të përgjuar të dhënat e plotësimit automatik, edhe pa injeksion JavaScript. Nëse injeksionet JavaScript janë të aktivizuara, të gjithë menaxherët e fjalëkalimeve të Android janë të cenueshëm ndaj sulmeve të derdhjes automatike.

Studiuesit testuan AutoSpill në menaxherët e fjalëkalimeve Android 10, 11 dhe 12 dhe gjetën 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 dhe Keepass1.vul0.

Studiuesit e sigurisë kibernetike informuan zhvilluesit e sigurisë së Android për problemin e mundshëm dhe sugjeruan disa zgjidhje, të cilat nuk u ndanë me publikun.

LEXO EDHE:

Back to top button