Εντοπίστηκε ευπάθεια στο WebView

Της Ελένης Μιχαηλίδου

Οι ερευνητές έδειξαν πως ακόμα και οι πιο διαδεδομένοι διαχειριστές κωδικών πρόσβασης μπορούν να διαρρεύσουν διαπιστευτήρια από συσκευές Android όταν χρησιμοποιούν τη δυνατότητα αυτόματης συμπλήρωσης κωδικών WebView.

Στο συνέδριο Black Hat Europe της περασμένης εβδομάδας, ο Ankit Gangwal του International Institute of Information Technology (IIIT) έδειξε πώς οι εφαρμογές για κινητά που χρησιμοποιούν στοιχεία ελέγχου WebView μπορούν να διαρρεύσουν διαπιστευτήρια από πολλούς διαχειριστές κωδικών πρόσβασης.

Ο Gangwal και οι φοιτητές του αποκάλυψαν την ευπάθεια διαρροής διαπιστευτηρίων που αποκαλούν “AutoSpill” σε μια εργασία που παρουσίασαν τον Απρίλιο στο ACM Conference on Data and Application Security and Privacy (CODASPY).

«Αν πρόκειται για κακόβουλη εφαρμογή, θα λάβει τα διαπιστευτήρια του χρήστη δωρεάν», λέει ο Gangwal. «Δεν απαιτείται μήνυμα phishing, δεν απαιτείται εξαπάτηση. Το χειρότερο είναι ότι τέτοιες εφαρμογές μπορούν να παραμείνουν στα επίσημα app store όπου μπορούν να διανεμηθούν σε μεγαλύτερη βάση χρηστών, γεγονός που καθιστά το πρόβλημα ακόμη πιο σοβαρό».

Ο Gangwal λέει ότι, από όσο γνωρίζει, δεν υπάρχει ενεργή εκμετάλλευση του AutoSpill. «Ελπίζω να μην το έχει εκμεταλλευτεί κανείς», λέει. «Τη στιγμή που ανακαλύψαμε την ευπάθεια, καταγράψαμε τα πάντα. Τα μοιραστήκαμε με τους επηρεαζόμενους διαχειριστές κωδικών πρόσβασης και την ομάδα της Google».

Οι διαχειριστές κωδικών πρόσβασης μπορούν να μετριάσουν τον κίνδυνο συσχετίζοντας έναν διαδικτυακό τομέα με το πεδίο εισαγωγής που περιλαμβάνει ένα όνομα χρήστη και έναν κωδικό πρόσβασης, σημειώνει ο Gangwal. «Με αυτόν τον τρόπο, μπορούν να αναπτύξουν μια πιο ασφαλή σύζευξη».

Τεύχος 411