Black Hat Europe 2023’ün zirvesi, önde gelen endüstri profesyonellerini ve araştırmacılarını bir araya getirerek ön planda siber güvenlik içgörüleri sundu.
Göze çarpan bir brifingde Ankit Gangwal, Shubham Singh ve Abhijeet Srivastava tarafından hazırlanan “AutoSpill: Mobil Şifre Yöneticilerinden Sıfır Çabayla Kimlik Bilgisi Çalma” kitabının açıklanması yer aldı.
AutoSpill mobil şifre yöneticisi güvenlik açığının basitleştirilmiş bir sürümünü burada bulabilirsiniz; potansiyel istismara, tespit tekniklerine ve Android kullanıcıları için çözümlere odaklanıyoruz.
Otomatik Yayılma Güvenlik Açığı Nedir ve Nasıl Çalışır?
Araştırmacılar, WebView kontrolleri kullanılarak bir web sayfasının mobil uygulamaya yüklendiği yaygın bir senaryoya ışık tutuyor. Google’ın önceden yüklenmiş motoru olan WebView, geliştiricilerin bir web tarayıcısını başlatmadan web içeriğini uygulama içinde görüntülemesine olanak tanır.
Araştırmacılar, yaptıkları çalışmada, bir uygulamanın içine yüklenen giriş sayfalarındaki otomatik doldurma işlemleri sırasında Android şifre yöneticilerinde bir güvenlik açığı tespit etti.
AutoSpill güvenlik açığı, Android uygulamaları WebView’da bir oturum açma sayfası yüklediğinde ortaya çıkıyor ve parola yöneticilerinin, kullanıcı oturum açma bilgilerinin nereye hedefleneceği konusunda “yönelimini kaybetmesine” neden oluyor. Bu, kimlik bilgilerinin temeldeki uygulamanın yerel alanlarına açık hale gelmesine neden olur.
Araştırmacılar, en iyi Android şifre yöneticilerinin çoğunun, JavaScript enjeksiyonu olmasa bile AutoSpill’e karşı savunmasız olduğunu keşfetti. JavaScript enjeksiyonlarının etkinleştirilmesi sorunu daha da kötüleştirdi ve test edilen tüm şifre yöneticilerini bu güvenlik açığına açık hale getirdi.
Otomatik Yayılma Güvenlik Açığı Konusunda Etkiler ve Sonuçlar
Ankit Gangwal, özellikle kötü amaçlı temel uygulamaları içeren senaryolarda bu güvenlik açığının sonuçlarını vurguladı. Kimlik avı olmasa bile, Google veya Facebook gibi üçüncü taraf siteler aracılığıyla oturum açmayı isteyen kötü amaçlı bir uygulamanın hassas bilgilere otomatik olarak erişebileceğini belirtti.
Araştırmacılar, 1Password, LastPass, Keeper ve Enpass gibi popüler şifre yöneticilerini güncel Android cihazlarda test etti.
Bulguları, çoğu uygulamanın, JavaScript yerleştirme devre dışı olsa bile kimlik bilgisi sızıntısına karşı savunmasız olduğunu ortaya çıkardı. JavaScript enjeksiyonlarının etkinleştirilmesi, test edilen tüm şifre yöneticilerindeki güvenlik açığını daha da artırdı.
AutoSpill güvenlik açığını keşfeden Gangwal, bulgularını hem etkilenen şifre yöneticilerine hem de Android güvenlik ekibine sorumlu bir şekilde açıkladı. Etkilenen taraflar sorunun geçerliliğini kabul etti ve güvenlik açığını gidermek için önlemler alındı.
AutoSpill güvenlik açığı, otomatik doldurma işlemleri sırasında Android şifre yöneticileriyle ilişkili potansiyel riskleri vurguluyor.
Güvenlik açıklarının sorumlu bir şekilde açıklanması, kullanıcı verilerinin korunmasına ve parola yönetim sistemlerinin bütünlüğünü korumaya yönelik proaktif bir yaklaşım sağlar.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.