AutoSpill 攻擊可自 Android 密碼管理工具中竊取密碼
- 發布單位:TWCERT/CC
- 更新日期:2023-12-27
- 點閱次數:12678
印度海德拉巴國際資訊科技研究所(International Institute of Information Technology, IIIT )的資安研究人員,近日發現一種新式攻擊方式,命名為 AutoSpill;駭侵者可以透過這種方式,在 Android 手機密碼管理員自動填寫密碼時進行竊取。
研究人員指出,許多 Android 平台上的 app,經常使用 WebView 控制項來顯示網頁內容,例如 app 的登入頁面,而非將用戶導向到系統瀏覽器;這樣雖然可以提高使用者體驗的順暢度,讓使用者不必頻繁切換前景應用程式,但這也給 AutoSpill 帶來可趁之機。
研究人員說,Android 平台上的各種密碼管理工具,在各個 App 出現登入畫面時,也多會使用 WebView 架構來自動輸入使用者儲存下來的帳號與密碼;由於 Android 平台本身對於自動輸入的資料,在架構上就缺少明確的責任歸屬定義,因此這些資料可能被 host 應用程式所攔截。
IIIT 的研究人員指出,據該單位的測試,多數 Android 平台上的密碼管理工具,都無法避免遭到 AutoSpill 竊取密碼;即使沒有任何 JavaScript 指令注入,也無法倖免。包括多種極受歡迎的密碼管理工具如 LastPass 5.11.0.9519、1Password 7.9.4、Enpass 6.8.2.666、Keeper 16.4.3.1048、Keypass2Android 1.90c-r0 都在各種測試中遭到 AutiSpill 成功取得自動填寫的使用者名稱或密碼。
相對的,研究人員也指出,Google Smart Lock 13.30.8.26 和 DashLane 6.2221.3 由於採用了不同方式來自動填寫登入資訊,因此在未有 JavaScript 注入的情形下,不會洩露自動填寫的帳號與密碼。
在各密碼管理工具推出修復 AutoSpill 攻擊的新版本前,Android 使用者應提高警覺,避免自非正常管理下載安裝任何軟體或 APK 檔案,以免登入資訊遭竊。