11/12/2023 @ 16:34:53: Android - La vulnérabilité qui pourrait permettre aux applications Android de voler des mots de passe s'appelle AutoSpill
Ankit Gangwal de l'Institut international des technologies de l'information), lors de la conférence Black Hat Europe , avec ses étudiants Shubham Singh et Abhijeet Srivastava , a discuté de la vulnérabilité "AutoSpill" , qui pourrait provoquer la fuite des informations d'identification personnelles des utilisateurs d'Android . En particulier, les gestionnaires de mots de passe pour Android sont basés sur le composant logiciel WebView, qui permet d'intégrer du contenu Web dans une application mobile. Par conséquent, il garantit un navigateur intégré dans une application, permettant aux développeurs de visualiser des pages ou du contenu Internet directement dans l'interface de l'application. En fait, lorsqu'une application charge une page de connexion via WebView, les gestionnaires de mots de passe peuvent ne pas reconnaître l'emplacement correct pour saisir les informations de connexion précédemment enregistrées par l'utilisateur. À cet effet, Gangwal a précisé : « Disons que vous essayez d'accéder à votre application musicale préférée sur votre appareil mobile et que vous utilisez l'option « Connexion via Google ou Facebook ». L'application musicale ouvrira une connexion Google ou Facebook. ". Facebook Inside via WebView. Lorsque le gestionnaire de mots de passe est invoqué pour remplir automatiquement les informations d'identification, idéalement, il ne devrait se remplir automatiquement que sur la page Google ou Facebook qui a été chargée. Mais nous avons constaté que l'opération de remplissage automatique pouvait accidentellement exposer les informations d'identification à l'application sous-jacente. " .
Gangwal a ensuite ajouté que les dix principaux gestionnaires de mots de passe pour Android se sont révélés vulnérables à AutoSpill . Ayant découvert la vulnérabilité, ils ont donc contacté tous les responsables des applications en question, cependant seuls ceux de 1Password ont répondu, garantissant une mise à jour logicielle. Le risque est cependant élevé : en effet, des applications malveillantes pourraient obtenir les identifiants des utilisateurs, en contournant certaines techniques informatiques.