Parola Yöneticileri, kullanıcılara her şeyi yazmak yerine bir web sayfasındaki veya uygulamadaki bilgileri doldurma konusunda yüksek düzeyde kolaylık sağladıklarından akıllı telefon kullanıcıları için giderek daha önemli hale geldi.
Ayrıca kullanıcıların birçok farklı hesap şifresini ve kullanıcı adını hatırlamasına gerek yoktur.
Ancak herhangi bir sosyal mühendislik saldırısı veya kötü amaçlı kod içermeyen bir tür kimlik bilgisi çalma yöntemi tespit edildi. Tehdit aktörleri, kullanıcıların kimlik bilgilerini çalmak için Android tarafından sağlanan meşru Otomatik Doldurma hizmeti seçeneklerini kullanabilir.
Çevrimiçi formları doldurmak için üçüncü taraf kimlik doğrulaması kullanıldığında Android’in otomatik doldurma işlemi güvenli değildir. Otomatik doldurma hizmeti, uygulamaların oturum açma formlarını doldurmak için yerleşik veya harici parola yöneticilerini kullanmasını sağlar.
Bu özel kimlik bilgisi çalma yöntemi, uygulamalar için Android tarafından sağlanan Web görünümü kontrollerinde mevcuttur. Android’deki web görünümü kontrolleri, uygulamaların ana tarayıcıyı açmak yerine web görünümlerini oluşturmasına olanak tanır ve bu da kullanıcılara kusursuz bir deneyim sunar.
Ayrıca, bu Web görünümü aynı zamanda uygulamaların, Google, Microsoft vb. ile Oturum Açma gibi OAuth protokolü yöntemini kullanan diğer web sitelerinde veya uygulamalarda oturum açmak için de kullanılabilecek yerleşik tarayıcı tipi bir işleme sahip olmasına olanak tanır.
Web Görünümü Risk Haline Geliyor
Bu uygulamalar web görünümü içinde üçüncü taraf kimlik doğrulaması sağlayabildiğinden, otomatik doldurma hizmeti, “Otomatik Doldurma” hizmetini kullanarak şifre yöneticisinden gelen bilgileri doldurmaya çalışır.
Bu hizmetin, web görünümünde güvenli kimlik doğrulaması yapmak yerine kimlik bilgilerini uygulamalara sızdırdığı keşfedildi.
Başka bir deyişle, bir kullanıcı bir uygulamanın içindeki web görünümünü kullanır ve “Google, Microsoft” vb. kullanarak oturum açmaya çalışırsa, uygulama kimlik doğrulama sayfasını oluşturur ve bilgilerin doldurulması için klavyeden bir “Otomatik Doldurma” işlemi ister. .
Bu işlem gerçekleştiğinde, otomatik doldurma, Android Şifre Yöneticilerinde saklanan otomatik doldurma kimlik bilgilerini web görünümüne izin veren uygulamaya sızdırır. Tehdit aktörleri, herhangi bir kötü amaçlı kod veya kimlik avı saldırısı kullanmadan kimlik bilgilerini çalmak için bu yöntemi kullanabilir.
Bu araştırma makalesi 2023 BlackHat Avrupa’da sunuldu. Bu saldırı satıcılara bildirildi ve yamalar etkilenen sürümlere dağıtıldı.
| ÖĞLEDEN SONRA | (Uygulama Görünümü)’nde bulunan yerel alanlar | |||
| 2 | 1 | 1 | 1 | |
| Hem kullanıcı adı, hem şifre | Yalnızca kullanıcı adı | Sadece şifre | Sadece hiçbiri | |
| Google Akıllı Kilit | Ü+P | YUKARI | YUKARI | YUKARI |
| Dashlane | Ü+P | YUKARI | YUKARI | YUKARI |
| 1Şifre | ✗ | ✗ | YUKARI | YUKARI |
| Son Geçiş | Ü+P | YUKARI | YUKARI | YUKARI |
| Geçmek | Ü+P | YUKARI | YUKARI | YUKARI |
| Keepass2Android | Ü+P | YUKARI | YUKARI | YUKARI |
| Kaleci | Ü+P | YUKARI | YUKARI | YUKARI |
| ✗: Otomatik doldurma hiç çalışmıyor.U+P: Uygulama Görünümü’ne erişildi ve hem kullanıcı adı hem de şifre çalındıU/P: Uygulama Görünümü hem kullanıcı adına hem de şifreye erişti, tercih edilen kimlik bilgilerini çaldı | ||||
Bu saldırı hakkında daha fazla bilgi için BlackHat Avrupa’nın sunumunda yapı, saldırı, iyileştirme ve diğer bilgiler hakkında bilgi verilmektedir.