LOADING...
Faça login e
comente
Usuário ou Email
Senha
Esqueceu sua senha?
Ou
Registrar e
publicar
Você está quase pronto! Agora definir o seu nome de usuário e senha.
Usuário
Email
Senha
Senha
» Anuncie » Envie uma dica Ei, você é um redator, programador ou web designer? Estamos contratando!

1Password, Keeper e outros gerenciadores de senhas apresentam falha de segurança no Android

09 de dezembro de 2023 12

Uma equipe de pesquisadores de segurança cibernética descobriu uma falha de segurança que ameaça usuários de gerenciadores de senhas no Android. Durante uma apresentação na conferência Black Hat Europe, especialistas da IIIT Hyderabad explicaram o que é e como funciona a nova vulnerabilidade chamada de “AutoSpill”.

Um trocadilho com o termo “autofill” (“preenchimento automático”, em tradução livre), o AutoSpill permite que aplicativos maliciosos tenham acesso aos dados pessoais dos usuários que utilizam gerenciadores de senhas. O problema está na interação dessas ferramentas com o WebView, um motor de navegação web pré-instalado no Android.

(Imagem: Reprodução)

Ao fazer login em um aplicativo, é comum que o usuário se depare com opções de autenticação com o Google, Facebook e outras plataformas. Selecionar uma dessas opções faz com que o aplicativo invoque o WebView, que funciona como uma espécie de navegador “compacto” que exibe páginas da web sem precisar sair do aplicativo.

“Quando o gerenciador de senhas é chamado para preencher as credenciais automaticamente, o ideal é que ele preencha somente na página carregada do Google ou Facebook”, explica Ankit Gangwal, pesquisador da IIIT Hyderabad. “Mas descobrimos que o preenchimento automático poderia expor acidentalmente as credenciais ao aplicativo base”.

Gerenciadores de senhas armazenam credenciais para vários aplicativos (Imagem: Reprodução)

Isso significa que os dados pessoais armazenados no gerenciador de senhas podem ser visualizados pelo aplicativo em questão. Essa falha se torna um grande problema nos casos em que o aplicativo que chama o gerenciador de senhas é um malware.

“Mesmo sem phishing, qualquer aplicativo malicioso que peça para você fazer login por meio de outro site, como Google ou Facebook, pode acessar automaticamente suas informações confidenciais”, alerta Gangwal.

(Imagem: Reprodução)

Os pesquisadores testaram o AutoSpill utilizando alguns dos gerenciadores de senhas mais populares do mercado, incluindo 1Password, LastPass e Keeper. Para a prova de conceito, foram utilizados diferentes aparelhos com versões distintas do Android. Alguns executavam versões antigas do sistema operacional. Confira:

Conforme descoberto pelos pesquisadores, a maioria dos aplicativos de gerenciamento de senhas estava vulnerável ao vazamento de credenciais, mesmo ao desativar a injeção de JavaScript. Quando esse mecanismo estava ativado, todos os gerenciadores de senhas analisados ficaram suscetíveis ao AutoSpill.

Gangwal alertou o Google e os desenvolvedores dos gerenciadores de senhas afetados sobre a falha. Representantes do 1Password e Keeper afirmam que as devidas correções já estão a caminho. Em nota enviada ao TechCrunch, o LastPass afirma ter uma mitigação em vigor que alerta o usuário quando um aplicativo tenta explorar a brecha.

Os pesquisadores agora dedicarão seus esforços para verificar se a vulnerabilidade também afeta os usuários do iOS.

Veja mais!

Mais Notícias

12

Comentários

1Password, Keeper e outros gerenciadores de senhas apresentam falha de segurança no Android
  • Melhor não ativar o auto preenchimento de senhas. Criar senhas seguras com no minino 10 caracteres incluindo letras maiúsculas e minúsculas, números e símbolos. Evitar ter várias senhas iguais para sites, app's e serviços, assim como senhas iguais para serviços financeiros. Crie um padrão de senhas que possa associar ao site, app ou serviço, como as iniciais ou nome do site ou nome de fácil associação e acrescente nr's, letras, símbolos para diferenciar. E nunca, nunca clique em arquivos ou links desconhecidos recebidos por e-mail, WhatsApp e demais redes sociais. Quando possível tenha um antivírus com monitoramento automático de links e arquivos e aberturas de app. LMelhor não ativar o auto preenchimento de senhas. Criar senhas seguras com no minino 8 caracteres incluindo letras maiúsculas e minúsculas, números e símbolos. Evitar ter várias senhas iguais para sites, app's e serviços, assim como senhas iguais para serviços financeiros. Crie um padrão de senhas que possa associar ao site, app ou serviço, como as iniciais ou nome do site ou nome de fácil associação e acrescente nr's, letras, símbolos para diferenciar. E nunca, nunca clique em arquivos ou links desconhecidos recebidos por e-mail, WhatsApp e demais redes sociais. Quando possível tenha um antivírus com monitoramento automático de links e arquivos e aberturas de app. Jamais instale aplicativos de fora das lojas oficiais do seu smartphone. Lembre-se, o principal antivírus está na frente da tela do seu celular, você %uD83E%uDEF5.

    • Concordo

        • Bitwarden o melhor gerenciador de senhas que existe!

            • Por isso não recomendo Android, sistema cheio de brechas e todos os dias tem notícias relacionadas a isso

                • Já eu prefiro Android pelas suas infinitas possibilidades de customizações. Segurança no meu celular eu cuidei de criar uma fortíssima barreira de proteção.

                  • Uso a anos o autenticador da Microsoft e nunca tive problema

                    • não instalo essas porcarias de jeito nenhum no meu smart tô fora

                        • E o Bitwarden firme e forte!

                            • São smartphone com Android mais antigo e patch de segurança mais antigo

                                • Por isso e importante um smartphone atualizado..

                                    Android

                                    Celular mais rápido! Ranking TudoCelular com gráficos de todos os testes de desempenho

                                    Android

                                    Celular com a melhor bateria! Ranking TudoCelular com todos os testes de autonomia

                                    Windows

                                    Versão 122 beta do Microsoft Edge com melhorias e atualização de recursos

                                    Economia e mercado

                                    Vídeo gravado por passageiro mostra interior de aeronave após acidente no Japão; assista