L’attaque AutoSpill permet de voler les identifiants stockés dans les gestionnaires de mots de passe Android
Des chercheurs en sécurité ont mis au point une nouvelle technique d'attaque qui abuse de la fonction de remplissage automatique des gestionnaires de mots de passe pour Android dans l'objectif de voler des identifiants ! Faisons le point sur cette méthode baptisée AutoSpill.
À l'occasion de l'événement de sécurité informatique Black Hat Europe, une équipe de chercheurs en sécurité l'International Institute of Information Technology (IIIT) ont dévoilé l'attaque AutoSpill, qui met à mal la majorité des gestionnaires de mots de passe pour Android, sans avoir besoin d'injection JavaScript.
La technique AutoSpill consiste à capturer les informations injectées par la fonction de remplissage automatique proposées par les gestionnaires de mots de passe. Ceci permet de faciliter l'expérience utilisateur en remplissant les champs identifiants et mots de passe lorsqu'il souhaite se connecter à un site et qu'il y a une entrée connue correspondante dans son coffre de mots de passe.
Sur Android, les applications utilisent fréquemment des contrôles WebView pour le rendu des contenus web, notamment pour les pages de connexion. D'ailleurs, les gestionnaires de mots de passe utilisent le composant système WebView pour leur fonction de remplissage automatique (pour Google, Facebook, Microsoft, etc.). D'après les chercheurs en sécurité, ce processus est vulnérable, ce qui permet de capturer les identifiants "injectés" par l'application, sans aucune injection de code JavaScript.
Ainsi, plusieurs scénarios d'attaques sont envisageables, à commencer par une application malveillante qui héberge un formulaire de connexion ayant pour seul objectif de collecter les identifiants, en toute discrétion et sans laisser de trace sur l'appareil.
Quelles sont les applications vulnérables ?
La technique AutoSpill a été testée sur plusieurs gestionnaires de mots de passe et sur différentes versions d'Android (Android 10, Android 11 et Android 12). Plusieurs applications n'ont pas résistées :
- 1Password 7.9.4
- LastPass 5.11.0.9519
- Enpass 6.8.2.666
- Keeper 16.4.3.1048
- Keepass2Android 1.09c-r0
En résumé :
Sachez que : U correspond à un nom d'utilisateur qui a fuité, P correspond à un mot de passe qui a fuité, et U+P, ce sont les deux.
Ce tableau montre qu'il y a deux bons élèves : Google Smart Lock 13.30.8.26 et DashLane 6.2221.3, car le processus de remplissage automatique fonctionne différemment. De ce fait, ils ne sont pas vulnérables à la technique AutoSpill. Enfin, il faut savoir qu'en cas d'injection JavaScript, tous les gestionnaires de mots de passe sur Android sont vulnérables à l'attaque AutoSpill. Du côté de chez 1Password, il y a déjà un travail en cours sur un correctif pour se protéger d'AutoSpill. C'est dommage que Bitwarden ne soit pas dans la liste des solutions évaluées.
Pour en savoir plus sur cette technique, vous pouvez consulter les slides de la présentation des chercheurs de l'IIT.
