- مطالعات امنیتی جدید، آسیبپذیریهای نشت خودکار را در مدیران رمز عبور اندروید که با نام حمله AutoSpill شناخته میشوند، نشان میدهند.
حمله AutoSpill چیست؟
به گفتۀ محققان دانشگاه (IIIT) Hyderabad که این آسیبپذیری را کشف و این هفته تحقیقات خود را در Black Hat Europe ارائه کردند، این آسیبپذیری که AutoSpill نامیده میشود، میتواند با دور زدن سازوکار تکمیل خودکار امن اندروید، اعتبار ذخیرهشده کاربران را از مدیران رمزهای تلفن همراه افشا کند.
در واقع این حمله میتواند منجر به سرقت اعتبار حسابها شود. محققان دریافتند که اکثر مدیران رمز عبور اندروید حتی بدون استفاده از تزریق جاوا اسکریپت در برابر این حمله آسیبپذیر هستند.
این حمله با بهرهبرداری از ضعفهای چارچوب WebView اندروید، که معمولاً از برنامههای اندروید برای ارائه محتوای وب استفاده میکند، بهره میبرد. مدیران گذرواژه در اندروید به این چارچوب متکی هستند. تا بهطور خودکار اطلاعات حساب کاربری را هنگام ورود به سرویسهایی مانند اپل، فیسبوک، مایکروسافت یا گوگل جایگزین و تکمیل کنند.
حمله AutoSpill بسیار نگرانکننده است، زیرا به برنامههای مخرب امکان سرقت اطلاعات کاربران بدون باقی گذاشتن هیچ اثری از خود میدهد. این پدیده میتواند منجر به دسترسی غیرمجاز به حسابهای حساس شود.
محققان AutoSpill را روی چندین مدیر رمز عبور در نسخههای مختلف اندروید آزمایش کردند. دریافتند که 1Password، LastPass، Enpass، Keeper و Keepass2Android همگی در معرض این حمله قرار دارند.
بااینحال، Google Smart Lock و DashLane از رویکرد فنی متفاوتی پیروی میکنند و از حمله AutoSpill در امان خواهند بود. مگر اینکه از تزریق جاوا اسکریپت استفاده کنند.
آسیبپذیری AutoSpill ناشی از شکست Android در تعریف واضح مسئولیت مدیریت امن دادههای پرشده خودکار است. این حفره میتواند منجر به نشت یا سرقت اطلاعات حساس برنامه میزبان شود.
اقدامات امنیتی صورت گرفته
محققان یافتههای خود را به فروشندگان نرمافزار آسیبدیده و تیم امنیتی اندروید گزارش دادهاند. درحالیکه اعتبار گزارش تأیید شد، هنوز جزئیاتی در مورد برنامه این شرکت برای رفع این مشکل گزارش نشده است.
در پاسخ به این افشا، ارائهدهندگان مدیریت رمز عبور تاثیرگذار AutoSpill، مانند 1Password و LastPass، به کاربران خود اطمینان دادهاند که درحال تمرکز بر روی اصلاحاتی برای رفع این آسیبپذیری هستند. آنها بر اهمیت هوشیاری کاربر و اقدامات صریح مورد نیاز برای عملکردهای تکمیل خودکار تأکید میکنند.
به کاربران توصیه میشود در هنگام نصب برنامهها احتیاط و برنامههای مورد نیاز خود را تنها از فروشگاههای معتبر مانند Google Play دانلود کنند. توسعهدهندگان اندروید نیز تشویق و ترغیب میشوند تا بهترین شیوههای WebView را پیادهسازی کنند و از محل وارد شدن رمزهای عبور آگاه باشند.
ازآنجاییکه تهدید سرقت اطلاعات همچنان درحال تکامل است، برای کاربران، فروشندگان و توسعهدهندگان نرمافزارهای مختلف بسیار مهم است که در اجرای اقدامات امنیتی قوی برای محافظت از اطلاعات حساس حساب کاربران، فعال باقی بمانند.
خط مقدم محافظت از امنیت کامپیوتر شما، استفاده از آنتی ویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام به روزرسانی شود. ما در مجموعهی شیدافزار برای این نگرانی شما عزیزان، ضدویروس شید را پیشنهاد میکنیم.