Ще одна причина оновлювати своє програмне забезпечення: Дослідники безпеки виявили, що ці менеджери паролів на Android мають спільну вразливість, яка може спричинити витік даних.
Кілька мобільних менеджерів паролів допускають витік облікових даних користувачів через уразливість, виявлену у функціях автозаповнення в додатках для Android.
Що відомо про вразливість?
Про вразливість, яка отримала назву AutoSpill, повідомила команда дослідників з Міжнародного інституту інформаційних технологій в Хайдарабаді на конференції Black Hat Europe 2023, що відбулася минулого тижня.
Вразливість проявляється, коли Android викликає сторінку входу через WebView. (WebView – це компонент Android, який дозволяє переглядати веб-вміст без відкриття веб-браузера). Коли це відбувається, WebView дозволяє додаткам Android відображати вміст відповідної веб-сторінки.
Все це добре, якщо до цього не додається менеджер паролів: Облікові дані, надані WebView, також можуть бути надані програмі, яка спочатку запитувала ім’я користувача та пароль. Якщо програмі-джерелу довіряють, все повинно бути гаразд. Якщо програмі не довіряють, все може піти дуже погано.
Яких менеджерів паролів це стосується?
Це стосується менеджерів паролів 1Password, LastPass, Enpass, Keeper і Keepass2Android. Крім того, якщо облікові дані були передані за допомогою методу JavaScript-ін’єкції, вразливі DashLane та Google Smart Lock.
Читайте також: 5 швидких порад щодо покращення безпеки телефону Android прямо зараз
Через природу цієї вразливості не потрібен ні фішинг, ні шкідливий код в додатку.
Як проходило тестування?
Слід пам’ятати, що дослідники тестували цю вразливість на застарілому апаратному та програмному забезпеченні.
Зокрема, вони тестували на цих трьох пристроях: Poco F1, Samsung Galaxy Tab S6 Lite та Samsung Galaxy A52. У тестуванні використовувалися версії Android: Android 0 (з виправленням безпеки від грудня 2020 року), Android 11 (з виправленням безпеки від січня 2022 року) та Android 12 (з виправленням безпеки від квітня 2022 року).
Оскільки ці протестовані пристрої, а також операційна система і патчі безпеки були застарілими, важко з упевненістю сказати, чи вплине вразливість на новіші версії Android.
Що робити, щоб уникнути небезпеки?
Однак, навіть якщо ви використовуєте пристрій, відмінний від того, на якому тестувала група, це не означає, що цю вразливість слід ігнорувати. Скоріше, це повинно слугувати нагадуванням про необхідність постійно оновлювати ОС Android та встановлені додатки. Система WebView завжди була під пильною увагою, і оновлення для цього програмного забезпечення слід завжди втсановлювати вчасно. Для цього ви можете відкрити Google Play Store на своєму пристрої, знайти WebView, натиснути “Про цю програму” і порівняти останню версію з версією, встановленою на вашому пристрої. Якщо вони не збігаються, вам слід оновити версію.
Один з найкращих способів захистити Android – переконатися, що він завжди максимально оновлений. Щодня перевіряйте наявність оновлень ОС та додатків і встановлюйте всі доступні.
