Android : ce malware infiltre les gestionnaires de mots de passe, mais pas tous

Une nouvelle attaque nommée AutoSpill est capable de récupérer les identifiants et mots de passe conservés dans des gestionnaires. Elle le fait à un moment précis et sans que l’utilisateur ne s’en aperçoive.

Plutôt que de voler directement l’argent sur votre compte bancaire ou des cryptomonnaies, les pirates informatiques peuvent cibler les identifiants et mots de passe que vous utilisez pour vous connecter à différents services en ligne. Une manière de s’introduire dans ces derniers en laissant moins de traces. Pour éviter que quelqu’un ne devine vos sésames, vous avez pris l’habitude de les conserver dans un gestionnaire de mots de passe afin qu’ils soient générés aléatoirement et conservés de manière sécurisée.

Malheureusement, aussi protégés qu’ils soient, ces programmes ne sont pas infaillibles.

On se souvient que LastPass a subi deux cyberattaques importantes après lesquelles les pirates sont repartis avec l’équivalent de 4,2 millions d’euros. Comme si ça ne suffisait pas, des chercheurs de l’International Institute of Information Technology ont découvert un nouveau type d’attaque appelé AutoSpill. Affectant les gestionnaires de mots de passe sur Android, elle survient au moment ou l’application complète automatiquement les informations de connexion.

L’ATTAQUE AUTOSPILL VOLE LES IDENTIFIANTS ET MOTS DE PASSE ENREGISTRÉS DANS CERTAINS GESTIONNAIRES
Pour comprendre, il faut savoir que la plupart des applications Android utilise WebView pour afficher du contenu Web. Par exemple, cela permet de voir la page de connexion à un service directement dans l’appli, plutôt que d’être redirigé dans le navigateur. Les gestionnaires de mots de passe Android se servent aussi de WebView pour remplir automatiquement les identifiants.

C’est là qu’il y a une faille, et elle peut être exploitée même sans que le pirate n’injecte du code JavaScript pour exécuter certaines commandes.

AutoSpill se sert du fait qu’Android ne défini pas précisément (ou bien n’arrive pas à définir) qui est responsable de sécuriser les données transitant pendant l’auto-complétion. En cas d’attaque, une fausse application affichant une page de connexion pourrait voler les informations sans que l’utilisateur ne s’en rende compte.

Les équipes ont testé Google Smart Lock, Dashlane, 1Password, LastPass, Enpass, Keepass2Android et Keeper. Seuls Google Smart Lock et Dashlane ne sont pas vulnérables à AutoSpill sans injection Javascript.

S’il y en a une, tous sont concernés. Les porte-paroles de 1Password, LastPass, Keeper Security et Google ont indiqué soit qu’ils planchaient sur un correctif, soient qu’ils avaient déjà mis en place une sécurité face à ce type d’attaque.

Bleeping Computer

You may like