Pozor na mobilní správce hesel. Aplikace mohou díky automatickému vyplňování získat všechna vaše hesla | Zdroj: Shutterstock

Zdroj: Shutterstock

Pozor na mobilní správce hesel. Aplikace mohou díky automatickému vyplňování získat všechna vaše hesla

  • Automatické vyplňování může aplikacím prozradit všechna hesla
  • Zranitelnost AutoSpill však existuje jen na Androidu
  • Problémy mají prakticky všechny známé aplikace pro správu hesel

Na Android se další další pohroma, tentokrát zranitelnost AutoSpill, který dokáže z mobilních správců hesl zneužitím automatického vyplňování získat všechna vaše uložená hesla. Stačí pokoutně stažená aplikace, ve které se přihlásíte přes Google nebo Facebook účet, a všechna vaše hesla mohou být touto aplikací přečtena. Chyba automatického vyplňování hesel z jejich správců se týká zejména toho, že např. uložené heslo pro Google účet se může automaticky vypisovat i do jiných zadávacích polí, např. jako heslo do Facebooku.

Klepněte pro větší obrázek
Androidy a aplikace pro správu hesel obsahují novou zranitelnost AutoSpill, která v rámci automatického vyplňování aplikacím prozradí hesla do jiných služeb a aplikací. Ne, k papírkům se vracet nemusíte, rozhodně však vypněte automatické vyplňování hesel

Příkladem může být např. hudební aplikace pro mobilní zařízení, ve které zvolíte přihlášení přes Google nebo Facebook. Mobilní aplikace sama v sobě (přesněji řečeno v elementu WebView) otevře webovou stránku, ve které se můžete přihlásit. V tu chvíli zareagují úložiště hesel, které by v ideálním případě měly vyplnit jen ty údaje, které jsou pro dané přihlášení potřebné. Jenže se ukazuje, že si v tomto případě může aplikace zjistit různá další hesla, což by při cíleném útoku mohlo být obrovské bezpečnostní riziko.

Zranitelnost AutoSpill se objevuje i u nejpoužívanějších správců hesel, tj. u aplikací 1Password, LastPass, Keeper a Enpass. I když máte nejnovější verzi Androidu a nejnovější verzi aplikace, problém s prozrazením přihlašovacích údajů stále existuje. Výzkumný tým, který chybu objevil, informoval Google a vývojáře správce hesel, kteří připravují potřebné opravy a aktualizace. Za současné situace je vhodné se na Androidu aplikacím pro správu hesel raději vyhýbat, resp. u nich (pokud to lze), alespoň deaktivovat automatické vyplňování. Stačí jedna podvržená aplikace, a problém je na světě...

Zdroj: Techcrunch

Určitě si přečtěte

Články odjinud