![Privacidade: WhatsApp agora permite bloquear conversas com senha e impressão digital](https://css.tudocdn.net/new_files/img/shim.gif)
Android 30 Nov
09 de dezembro de 2023 12
Uma equipe de pesquisadores de segurança cibernética descobriu uma falha de segurança que ameaça usuários de gerenciadores de senhas no Android. Durante uma apresentação na conferência Black Hat Europe, especialistas da IIIT Hyderabad explicaram o que é e como funciona a nova vulnerabilidade chamada de “AutoSpill”.
Um trocadilho com o termo “autofill” (“preenchimento automático”, em tradução livre), o AutoSpill permite que aplicativos maliciosos tenham acesso aos dados pessoais dos usuários que utilizam gerenciadores de senhas. O problema está na interação dessas ferramentas com o WebView, um motor de navegação web pré-instalado no Android.
Ao fazer login em um aplicativo, é comum que o usuário se depare com opções de autenticação com o Google, Facebook e outras plataformas. Selecionar uma dessas opções faz com que o aplicativo invoque o WebView, que funciona como uma espécie de navegador “compacto” que exibe páginas da web sem precisar sair do aplicativo.
“Quando o gerenciador de senhas é chamado para preencher as credenciais automaticamente, o ideal é que ele preencha somente na página carregada do Google ou Facebook”, explica Ankit Gangwal, pesquisador da IIIT Hyderabad. “Mas descobrimos que o preenchimento automático poderia expor acidentalmente as credenciais ao aplicativo base”.
Isso significa que os dados pessoais armazenados no gerenciador de senhas podem ser visualizados pelo aplicativo em questão. Essa falha se torna um grande problema nos casos em que o aplicativo que chama o gerenciador de senhas é um malware.
“Mesmo sem phishing, qualquer aplicativo malicioso que peça para você fazer login por meio de outro site, como Google ou Facebook, pode acessar automaticamente suas informações confidenciais”, alerta Gangwal.
Os pesquisadores testaram o AutoSpill utilizando alguns dos gerenciadores de senhas mais populares do mercado, incluindo 1Password, LastPass e Keeper. Para a prova de conceito, foram utilizados diferentes aparelhos com versões distintas do Android. Alguns executavam versões antigas do sistema operacional. Confira:
Conforme descoberto pelos pesquisadores, a maioria dos aplicativos de gerenciamento de senhas estava vulnerável ao vazamento de credenciais, mesmo ao desativar a injeção de JavaScript. Quando esse mecanismo estava ativado, todos os gerenciadores de senhas analisados ficaram suscetíveis ao AutoSpill.
Gangwal alertou o Google e os desenvolvedores dos gerenciadores de senhas afetados sobre a falha. Representantes do 1Password e Keeper afirmam que as devidas correções já estão a caminho. Em nota enviada ao TechCrunch, o LastPass afirma ter uma mitigação em vigor que alerta o usuário quando um aplicativo tenta explorar a brecha.
Os pesquisadores agora dedicarão seus esforços para verificar se a vulnerabilidade também afeta os usuários do iOS.
2 semanas atrásPromoção por tempo limitado pode ser a oportunidade de comprar o Samsung Galaxy S23 com um bom desconto
1 mês atrásResgate até 3 meses de YouTube Premium agora com o seu celular ou tablet Samsung.
1 mês atrásMais um mês se encerrou e, como já é de costume, o TudoCelular divulga o ranking com os dez celulares mais buscados em nosso site ao longo de maio de 2024.
2 meses atrásInformações nos servidores internos da Samsung indicam grandes atualizações para as linhas Galaxy S24 e Galaxy S23.
Huawei Kirin 9010L: chipset inédito é encontrado em smartphone intermediário da chinesa
Celular mais rápido! Ranking TudoCelular com gráficos de todos os testes de desempenho
Celular com a melhor bateria! Ranking TudoCelular com todos os testes de autonomia
Versão 122 beta do Microsoft Edge com melhorias e atualização de recursos
Comentários