Hesla uložená v telefonu se systémem Android mohou být odhalena nebezpečným malwarem

Vaše hesla uložená v telefonu se systémem Android nejsou v bezpečí: tento malware k nim může získat přístup.

Vývojáři správců hesel tvrdí, že přihlašovací údaje uživatelů uchovávají pod zámkem, ale ne vždy tomu tak je. Nedávno byl objeven malware,který je schopen odhalit hesla uložená v telefonu se systémem Android. Program údajně zneužívá zranitelnost v automatickém vyplňování přihlašovacích údajů v systému Android. Zpráva zveřejněná výzkumníky z IIIT Hyderabad a převzatá serverem TechChrunch nazývá tuto zranitelnost „AutoSpill„. Nebezpečí je obrovské a ohrožuje všechny uživatele, kteří ukládají hesla do systému Android nebo používají aplikace pro správu hesel.

Vaše hesla uložená v telefonu se systémem Android nejsou v bezpečí: tento malware k nim dokáže získat přístup.

Na technické úrovni funguje malware tak, že obchází systém ověřování zabezpečení. Jak to dělá? Bylo zjištěno, že když aplikace pro systém Android načte stránku WebView, mohou být správci hesel záměrně nasměrováni tak, aby odhalili přihlašovací údaje v přihlašovacích polích těchto aplikací. K tomu dochází proto, že při načítání stránky WebView mohou vývojáři vidět obsah aplikace, protože automatické dokončování hesel se může „splést“ a zadat přihlašovací údaje do základní aplikace, a ne pouze do stránky, která byla pro tuto situaci vyžádána.

Nejzřetelnějším příkladem je situace, kdy chcete přistupovat k aplikaci, která umožňuje vytváření profilů prostřednictvím jiných služeb. Například při přihlašování do aplikace X Android je k dispozici několik možností spuštění a mezi nimi je i účet Google. Při výběru této metody se otevře okno Google WebView, objeví se správce hesel a místo zadání přihlašovacích údajů pouze v tomto okně dojde k jejich vystavení hlavní aplikaci. Problémem je samozřejmě zneužití této situace útočníky. Jasným příkladem je, že škodlivá aplikace, která napodobuje přihlášení na Facebook nebo Google, by nechala přihlašovací údaje uživatelů prodané, aniž by je zadali nebo se chytili do pasti, přičemž viníkem by byl správce hesel. Téměř žádný správce hesel mimo systém Android není ušetřen. Při vyšetřování byly testovány různé služby pro ukládání pověření, jako je LastPass nebo 1Password, a všechny byly tímto malwarem zasaženy. Nyní nezbývá než čekat, zda Google v této věci podnikne nějaké kroky.