30/12/2024

Actu Cybersécurité

L’attaque AutoSpill permet de voler les identifiants stockés dans les gestionnaires de mots de passe Android

Des chercheurs en sécurité ont mis au point une nouvelle technique d'attaque qui abuse de la fonction de remplissage automatique des gestionnaires de mots de passe pour Android dans l'objectif de voler des identifiants ! Faisons le point sur cette méthode baptisée AutoSpill.

À l'occasion de l'événement de sécurité informatique Black Hat Europe, une équipe de chercheurs en sécurité l'International Institute of Information Technology (IIIT) ont dévoilé l'attaque AutoSpill, qui met à mal la majorité des gestionnaires de mots de passe pour Android, sans avoir besoin d'injection JavaScript.

La technique AutoSpill consiste à capturer les informations injectées par la fonction de remplissage automatique proposées par les gestionnaires de mots de passe. Ceci permet de faciliter l'expérience utilisateur en remplissant les champs identifiants et mots de passe lorsqu'il souhaite se connecter à un site et qu'il y a une entrée connue correspondante dans son coffre de mots de passe.

Sur Android, les applications utilisent fréquemment des contrôles WebView pour le rendu des contenus web, notamment pour les pages de connexion. D'ailleurs, les gestionnaires de mots de passe utilisent le composant système WebView pour leur fonction de remplissage automatique (pour Google, Facebook, Microsoft, etc.). D'après les chercheurs en sécurité, ce processus est vulnérable, ce qui permet de capturer les identifiants "injectés" par l'application, sans aucune injection de code JavaScript.

Ainsi, plusieurs scénarios d'attaques sont envisageables, à commencer par une application malveillante qui héberge un formulaire de connexion ayant pour seul objectif de collecter les identifiants, en toute discrétion et sans laisser de trace sur l'appareil.

Quelles sont les applications vulnérables ?

La technique AutoSpill a été testée sur plusieurs gestionnaires de mots de passe et sur différentes versions d'Android (Android 10, Android 11 et Android 12). Plusieurs applications n'ont pas résistées :

  • 1Password 7.9.4
  • LastPass 5.11.0.9519
  • Enpass 6.8.2.666
  • Keeper 16.4.3.1048
  • Keepass2Android 1.09c-r0

En résumé :

Sachez que : U correspond à un nom d'utilisateur qui a fuité, P correspond à un mot de passe qui a fuité, et U+P, ce sont les deux.

Ce tableau montre qu'il y a deux bons élèves : Google Smart Lock 13.30.8.26 et DashLane 6.2221.3, car le processus de remplissage automatique fonctionne différemment. De ce fait, ils ne sont pas vulnérables à la technique AutoSpill. Enfin, il faut savoir qu'en cas d'injection JavaScript, tous les gestionnaires de mots de passe sur Android sont vulnérables à l'attaque AutoSpill. Du côté de chez 1Password, il y a déjà un travail en cours sur un correctif pour se protéger d'AutoSpill. C'est dommage que Bitwarden ne soit pas dans la liste des solutions évaluées.

Pour en savoir plus sur cette technique, vous pouvez consulter les slides de la présentation des chercheurs de l'IIT.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.