Android向けパスワードマネージャーに共通する脆弱性。認証情報が漏えいする恐れ 19
ストーリー by nagazou
脆弱性 部門より
脆弱性 部門より
Android向けの複数のパスワードマネージャーに影響する脆弱性「AutoSpill」が発見された。この脆弱性により認証情報が漏えいする懸念が出ているという。この脆弱性は、Androidが「WebView」を介してログインページを呼び出す際に発生する。WebViewがアプリに呼び出されたウェブページのコンテンツを表示するため、パスワードマネージャーを利用する際に認証情報がWebViewだけでなくアプリにも共有される可能性があるという(AutoSpill[PDF]、CNET Japan)。
報告によれば、影響を受けるパスワードマネージャーには「1Password」「LastPass」「Enpass」「Keeper」「Keepass2Android」が含まれる。さらにJavaScriptインジェクションを介して情報が共有された場合は、「Dashlane」「Google Smart Lock」も影響を受ける可能性があるとしている。
この脆弱性は、フィッシングや悪意のあるアプリ内コードを必要としないため、注意が必要だとしている。ただし、報告されたテストは「Pocophone F1」、サムスンの「Galaxy Tab S6 Lite」と「Galaxy A52」と「Android 10」(2020年12月のセキュリティパッチ適用)、「Android 11」(2022年1月のセキュリティパッチ適用)、「Android 12」(2022年4月のセキュリティパッチ適用)という古いAndroid環境で実施されており、最新のAndroidバージョンにおける影響は不透明だとしている。
Androidがセキュリティ上最大のリスクに…。 (スコア:0)
あれだけログインアカウントとログインパスワードを登録するメッセージが出てくるのに…
この体たらくだと…。
iPhoneに対する唯一の対抗馬OSなのに…。
Re:Androidがセキュリティ上最大のリスクに…。 (スコア:3, 参考になる)
・Webviewは複数ある:ROMのやつとストアのやつ(ストア版一本の機種がないわけではない)
・複数のWebviewのどれをデフォで使うか:基本はROM同梱版、開発者モードならユーザーで選択可能
・Webviewは複数のアプリから呼ばれて使われる
って状況で
・国内キャリア版は毎月更新降ってくるわけじゃない(毎月クリティカルな脆弱性があるのはお約束)
なわけだからしかたにねー
# つかブラウザアプリじゃなく阿婆擦れWebviewで入力履歴使いまわしサポートとか仕様自体が腐ってる実装だよねぇ
Re: (スコア:0)
# つかブラウザアプリじゃなく阿婆擦れWebviewで入力履歴使いまわしサポートとか仕様自体が腐ってる実装だよねぇ
IMEよりはマシだろう
あいつ三擦り半で所構わず先走りやがるし
Re: (スコア:0)
唯一の対抗馬になったのはGoogle自身のせいなんだよなあ
そういえばvs Epicの裁判で見事Androidの独占が認定され敗訴されたそうで
おめでとうございます
Re: (スコア:0)
幹部が違法に証拠隠滅したりで印象最悪でしたし当然ですね
この結果は米司法省からの訴訟にも影響しそう
Re: (スコア:0)
https://gigazine.net/news/20231208-android-password-managers-leak-autospill/ [gigazine.net]
iOSで再現できるかどうかも調査中だそうで
『KeePassDroidはこの影響を受けない』という事実 (スコア:0)
だからKeepass2はクソだとあれほど・・・
#そもそもAndroid12以下って大分古いぞ
Re: (スコア:0)
auto fill動作に対応してないからってだけじゃなくて?しらんけど
Re: (スコア:0)
OSの脆弱性までアプリは責任持てないでしょ
by designな周知の脆弱性なら、機能を使用する前に確認画面出すなどして、リスクを許容するかユーザーに判断させるべきかもしれないが
今回はby designでなくバグっぽくみえるが、古いAndroidでは修正しようがないからどうするかね
Android 12以下ではオートフィル機能有効化の前に確認画面出すべき?
Fenixは? (スコア:0)
Fenixにもパスワードの自動入力機能があるけれど…。
そもそもそういうものじゃないのか (スコア:0)
WebViewの親アプリはinputのvalueにアクセスできるものと思っていた。passwordでも。
Re: (スコア:0)
どういう条件下だと被害らしい被害に合うんだろうね
アプリ内でアプリ提供元とは別の所のID・Pass入れる機会って…
一部のOAuthがそうなのか?
Re: (スコア:0)
難しく考えなくても、アプリ内で騙すことなく、本来のサイトを表示してログインさせると、アプリ側からもその内容が見えるよって話。
別段、パスワードマネージャに限った話じゃなくブラウザで入力したらブラウザにばれるぞってレベルの話だよ。
WebView経由だと、ブラヴザアプリに見えないような作りにとできるってあたりが注意喚起なのかな?
Re:そもそもそういうものじゃないのか (スコア:1)
パスワードマネージャがWebViewに入れた認証情報をアプリがぶっこ抜くんじゃなくて、パスワードマネージャを騙してアプリのインプットフィールドに認証情報を入れさせるみたいよ。
https://gigazine.net/news/20231208-android-password-managers-leak-autospill/ [gigazine.net]
Re: (スコア:0)
アプリのインプットフィールドってのが、WebViewの正規サイトの画面のことですよ。
元コメントのとおり、WebViewとしてもパスワードマネージャとしても正規サイトに正規のアカウント情報を流しこんでるだけのまっとうな動作。
だけど、そのまっとうな動作をさせるアプリを悪意をもって作れば、パスワードも奪えるって話。
Re: (スコア:0)
記事リンクにあるPDFの40,41ページ見ると
Webのインプットフィールドとアプリのインプットフィールドがあってアプリ側にリークする感じぽいですよ
Re: (スコア:0)
どういう条件下だと被害らしい被害に合うんだろうね
本質的にはWebview関係なくIMEの候補ですらやらかすんじゃないかな
入力先に合わせてIsolationなんてしてくれないでしょ
# パスワード入力用オブジェクトならサジェスト躱せるかもだけど日本語入力でShift押して英字とか10キーで入れちゃうと覚えちゃうんよ
なるほどわからん (スコア:0)
CNET Japanの記事
> フィッシングも悪意のあるアプリ内コードも必要としない
じゃぁ悪意あるコードはどこに存在してるんだ?
まずアプリ外で任意コードを実行する方法を教えてくれ。
Re: (スコア:0)
全く変な表現だと思うが、狙わなくても条件が成立しちゃうことがあるんでしょ
それでアプリのフィールドに認証情報が入力されることがあっても悪意が無ければ使わないだけかな