현대 기술은 우리에게 많은 것을 제공합니다.

AutoSpill 공격은 Android 비밀번호 관리자의 자격 증명을 훔칩니다.


Οι ερευνητές ασφαλείας ανέπτυξαν μια νέα επίθεση, την οποία ονόμασαν AutoSpill, για να κλέψουν τα διαπιστευτήρια λογαριασμού στο κατά τη λειτουργία αυτόματης συμπλήρωσης.

안에 Black Hat Europe에서의 프레젠테이션 보안 컨퍼런스에서 하이데라바드에 있는 국제정보기술연구소(IIIT) 연구원들은 테스트 결과 대부분의 안드로이드 비밀번호 관리자가 JavaScript 주입이 없더라도 AutoSpill에 취약한 것으로 나타났다고 밝혔습니다.

AutoSpill 작동 방식

Android 앱은 종종 WebView 컨트롤을 사용하여 로그인 페이지와 같은 웹 콘텐츠를 렌더링합니다. s, 사용자를 기본 브라우저로 리디렉션하는 대신 작은 화면 장치에서는 더 번거로운 경험이 될 것입니다.

Android 비밀번호 관리자는 앱이 Apple, Facebook, 아니면 구글.

Microsoft 계정을 사용하여 대학 포털에 로그인
Microsoft 계정을 사용하여 대학 포털에 로그인

연구원들은 JavaScript 주입 없이도 호출 애플리케이션에서 자동으로 채워진 자격 증명을 캡처하기 위해 이 프로세스의 약점을 이용하는 것이 가능하다고 말했습니다.

연구원들은 JavaScript 주입이 활성화되면 모든 Android 비밀번호 관리자가 AutoSpill 공격에 취약하다고 말합니다.

Android에 내장된 자동완성 관리 구조
Android에 내장된 자동완성 관리 구조

특히 AutoSpill 문제는 Android가 자동으로 채워진 데이터의 안전한 처리에 대한 책임을 시행하거나 명확하게 정의하지 못하여 호스트 앱에서 해당 데이터가 유출되거나 기록될 수 있기 때문에 발생합니다.

자동완성 서비스의 처리 흐름
자동완성 서비스의 처리 흐름

공격 시나리오에서 로그인 양식을 제공하는 악성 애플리케이션은 어떠한 손상 증거도 남기지 않고 사용자의 자격 증명을 캡처할 수 있습니다. AutoSpill 공격에 대한 추가 기술 세부 정보는 다음에서 확인할 수 있습니다. 연구원 슬라이드 Black Hat Europe 프레젠테이션에서 발췌.

AutoSpill 공격에 대한 자세한 내용은 다음에서 확인할 수 있습니다. 이 문서BlackHat 프레젠테이션의 슬라이드가 포함되어 있습니다.

충격과 고정

연구원들은 Android 10, 11, 12에서 선택한 비밀번호 관리자에 대해 AutoSpill을 테스트한 결과 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 및 Keeper 16.4.3.1048.3.1048을 발견했습니다. Android 자동완성 프레임워크 사용으로 인한 공격

Google Smart Lock 13.30.8.26 및 DashLane 6.2221.3은 자동 완성 프로세스에 대해 다른 기술적 접근 방식을 취했습니다. JavaScript 삽입을 사용하지 않는 한 민감한 데이터가 호스트 애플리케이션으로 유출되지 않았습니다.

테스트 결과(U - 사용자 이름), (P - 비밀번호)
테스트 결과: (U – 사용자 이름 유출), (P – 비밀번호 유출), (X – 작동하지 않음), (✓ – AutoSpill로부터 안전함)

연구원들은 영향을 받은 소프트웨어 공급업체와 Android 보안 팀에 조사 결과를 공개하고 문제 해결을 위한 권장 사항을 공유했습니다. 이들의 신고는 유효한 것으로 인정되었으나, 개선 계획에 대한 세부사항은 공유되지 않았습니다.

BleepingComputer는 AutoSpill의 영향을 받은 여러 비밀번호 관리 제품 제공업체와 Google에 연락하여 문제 해결 계획을 문의했으며 지금까지 다음과 같은 피드백을 받았습니다.

많은 사람들이 자동 완성을 사용하여 자격 증명을 빠르고 쉽게 입력하는 데 익숙합니다. 해커는 사용자 장치에 설치된 악성 애플리케이션을 통해 사용자가 원하지 않는 자격 증명을 자동 입력하도록 유도할 수 있습니다. AutoSpill은 이 문제를 강조합니다.

고객의 가장 중요한 데이터를 안전하게 보호하는 것이 1Password의 최우선 과제입니다. AutoSpill에 대한 수정 사항이 확인되었으며 현재 개발 중입니다..

수정을 통해 보안 상태가 더욱 강화되지만 1Password의 자동 완성 기능은 사용자가 명시적인 조치를 취하도록 설계되었습니다.

업데이트는 기본 필드가 Android WebView 전용 자격 증명으로 채워지는 것을 방지하여 추가 보호를 제공합니다. – 1 비밀번호 언론 담당자


2022년에는 Dr. 버그 바운티 파트너인 Bugcrowd를 통한 Gangwal입니다. 귀하가 제출한 조사 결과를 분석한 결과 이를 악용하는 데 필요한 메커니즘으로 인해 위험도가 낮은 취약점인 것으로 확인되었습니다.

여기서 주목해야 할 중요한 점은 이 취약점을 이용하려면 대상 장치에 악성 애플리케이션을 설치할 수 있는 능력과 기회가 필요하다는 점입니다. 이는 대상 장치에서 코드를 실행할 수 있는 능력이나 완전한 손상을 의미합니다.

박사님의 소견을 받기 전에 Gangwal, LastPass는 앱이 악용 시도를 감지했을 때 제품 내에서 팝업 경고를 통해 이미 완화 조치를 취했습니다. 결과를 분석한 후 팝업에 더 많은 정보를 제공하는 문구를 추가했습니다.

우리는 Dr. Dr.에게 이 업데이트를 확인했습니다. Gangwal이지만 업데이트에 대한 확인을 받지 못했습니다. – 제작 : LastPass 언론 담당자


31년 2022월 XNUMX일, Keeper는 연구원으로부터 잠재적인 취약점에 대한 보고를 받았습니다. 우리는 보고된 문제를 시연하기 위해 연구원에게 비디오를 요청했습니다. 분석을 바탕으로 우리는 연구원이 먼저 악성 애플리케이션을 설치한 다음 Keeper의 메시지를 수락하여 악성 애플리케이션을 Keeper 비밀번호 기록과 강제로 연결한 것으로 판단했습니다.

Keeper는 신뢰할 수 없는 애플리케이션이나 사용자가 명시적으로 승인하지 않은 웹사이트에서 사용자 인증 정보가 자동으로 입력되지 않도록 보호하는 장치를 갖추고 있습니다. Android 플랫폼에서 Keeper는 Android 앱이나 웹사이트에서 자격 증명을 자동 완성하려고 할 때 사용자에게 메시지를 표시합니다. 사용자는 정보를 입력하기 전에 애플리케이션과 Keeper 비밀번호 기록의 연결을 확인하라는 요청을 받습니다. 29월 XNUMX일에 우리는 연구원에게 이 정보를 알리고 특히 Android 플랫폼과 관련된 보고서를 Google에 제출할 것을 제안했습니다.

일반적으로 악성 Android 앱은 먼저 Google Play 스토어에 제출되고 Google의 검토를 받은 후 Google Play 스토어에 게시되도록 승인되어야 합니다. 그러면 사용자는 Google Play에서 악성 앱을 설치하고 해당 앱으로 거래해야 합니다. 또는 사용자가 악성 앱을 로드하려면 기기의 중요한 보안 설정을 우회해야 합니다.

Keeper는 항상 사람들이 앱을 설치할 때 주의를 기울이고 Google Play 스토어와 같이 신뢰할 수 있는 앱 스토어에서 게시된 Android 앱만 설치할 것을 권장합니다. – Craig Lurey, CTO 겸 공동 창립자 키퍼 보안


WebView는 앱에서 자체 서비스에 대한 로그인 페이지를 호스팅하는 등 Android 개발자가 다양한 방식으로 사용합니다. 이 문제는 비밀번호 관리자가 WebView와 상호작용할 때 자동 완성 API를 활용하는 방법과 관련이 있습니다.

타사 비밀번호 관리자는 비밀번호가 입력되는 위치에 민감할 것을 권장하며, 모든 비밀번호 관리자가 구현하도록 권장하는 WebView 모범 사례가 있습니다. Android는 비밀번호 관리자에게 네이티브와 WebView를 구별하는 데 필요한 컨텍스트, 그리고 로드되는 WebView가 호스팅 애플리케이션과 관련이 없는지 여부를 제공합니다.

Για παράδειγμα, όταν χρησιμοποιούν το Google για αυτόματη συμπλήρωση στο Android, οι χρήστες προειδοποιούνται εάν εισάγουν έναν κωδικό πρόσβασης για έναν τομέα που η Google κρίνει ότι ενδέχεται να μην ανήκει στην εφαρμογή φιλοξενίας και ο κωδικός πρόσβασης συμπληρώνεται μόνο στο κατάλληλο πεδίο. Η Google εφαρμόζει προστασίες από την πλευρά του διακομιστή για συνδέσεις μέσω WebView. – 구글 언론 담당자



VIA : bleepingcomputer.com

Google 뉴스에서 TechWar.gr을 팔로우하세요.

답변