パスワードを忘れた? アカウント作成
21507131 story
Android

Android向けパスワードマネージャーに共通する脆弱性。認証情報が漏えいする恐れ 19

ストーリー by nagazou
脆弱性 部門より

Android向けの複数のパスワードマネージャーに影響する脆弱性「AutoSpill」が発見された。この脆弱性により認証情報が漏えいする懸念が出ているという。この脆弱性は、Androidが「WebView」を介してログインページを呼び出す際に発生する。WebViewがアプリに呼び出されたウェブページのコンテンツを表示するため、パスワードマネージャーを利用する際に認証情報がWebViewだけでなくアプリにも共有される可能性があるという(AutoSpill[PDF]CNET Japan)。

報告によれば、影響を受けるパスワードマネージャーには「1Password」「LastPass」「Enpass」「Keeper」「Keepass2Android」が含まれる。さらにJavaScriptインジェクションを介して情報が共有された場合は、「Dashlane」「Google Smart Lock」も影響を受ける可能性があるとしている。

この脆弱性は、フィッシングや悪意のあるアプリ内コードを必要としないため、注意が必要だとしている。ただし、報告されたテストは「Pocophone F1」、サムスンの「Galaxy Tab S6 Lite」と「Galaxy A52」と「Android 10」(2020年12月のセキュリティパッチ適用)、「Android 11」(2022年1月のセキュリティパッチ適用)、「Android 12」(2022年4月のセキュリティパッチ適用)という古いAndroid環境で実施されており、最新のAndroidバージョンにおける影響は不透明だとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年12月13日 15時22分 (#4578696)

    あれだけログインアカウントとログインパスワードを登録するメッセージが出てくるのに…
    この体たらくだと…。

    iPhoneに対する唯一の対抗馬OSなのに…。

    • by Anonymous Coward on 2023年12月13日 16時16分 (#4578757)

      ・Webviewは複数ある:ROMのやつとストアのやつ(ストア版一本の機種がないわけではない)
      ・複数のWebviewのどれをデフォで使うか:基本はROM同梱版、開発者モードならユーザーで選択可能
      ・Webviewは複数のアプリから呼ばれて使われる
      って状況で
      ・国内キャリア版は毎月更新降ってくるわけじゃない(毎月クリティカルな脆弱性があるのはお約束)
      なわけだからしかたにねー

      # つかブラウザアプリじゃなく阿婆擦れWebviewで入力履歴使いまわしサポートとか仕様自体が腐ってる実装だよねぇ

      親コメント
      • by Anonymous Coward

        # つかブラウザアプリじゃなく阿婆擦れWebviewで入力履歴使いまわしサポートとか仕様自体が腐ってる実装だよねぇ

        IMEよりはマシだろう
        あいつ三擦り半で所構わず先走りやがるし

    • by Anonymous Coward

      唯一の対抗馬になったのはGoogle自身のせいなんだよなあ
      そういえばvs Epicの裁判で見事Androidの独占が認定され敗訴されたそうで
      おめでとうございます

      • by Anonymous Coward

        幹部が違法に証拠隠滅したりで印象最悪でしたし当然ですね
        この結果は米司法省からの訴訟にも影響しそう

    • by Anonymous Coward

      https://gigazine.net/news/20231208-android-password-managers-leak-autospill/ [gigazine.net]
      iOSで再現できるかどうかも調査中だそうで

  • by Anonymous Coward on 2023年12月13日 15時32分 (#4578702)

    だからKeepass2はクソだとあれほど・・・

    #そもそもAndroid12以下って大分古いぞ

    • by Anonymous Coward

      auto fill動作に対応してないからってだけじゃなくて?しらんけど

    • by Anonymous Coward

      OSの脆弱性までアプリは責任持てないでしょ
      by designな周知の脆弱性なら、機能を使用する前に確認画面出すなどして、リスクを許容するかユーザーに判断させるべきかもしれないが

      今回はby designでなくバグっぽくみえるが、古いAndroidでは修正しようがないからどうするかね
      Android 12以下ではオートフィル機能有効化の前に確認画面出すべき?

  • by Anonymous Coward on 2023年12月13日 15時35分 (#4578708)

    Fenixにもパスワードの自動入力機能があるけれど…。

  • by Anonymous Coward on 2023年12月13日 17時00分 (#4578793)

    WebViewの親アプリはinputのvalueにアクセスできるものと思っていた。passwordでも。

    • by Anonymous Coward

      どういう条件下だと被害らしい被害に合うんだろうね
      アプリ内でアプリ提供元とは別の所のID・Pass入れる機会って…
      一部のOAuthがそうなのか?

      • by Anonymous Coward

        難しく考えなくても、アプリ内で騙すことなく、本来のサイトを表示してログインさせると、アプリ側からもその内容が見えるよって話。
        別段、パスワードマネージャに限った話じゃなくブラウザで入力したらブラウザにばれるぞってレベルの話だよ。

        WebView経由だと、ブラヴザアプリに見えないような作りにとできるってあたりが注意喚起なのかな?

        • by Anonymous Coward on 2023年12月13日 18時14分 (#4578837)

          パスワードマネージャがWebViewに入れた認証情報をアプリがぶっこ抜くんじゃなくて、パスワードマネージャを騙してアプリのインプットフィールドに認証情報を入れさせるみたいよ。
          https://gigazine.net/news/20231208-android-password-managers-leak-autospill/ [gigazine.net]

          親コメント
          • by Anonymous Coward

            アプリのインプットフィールドってのが、WebViewの正規サイトの画面のことですよ。
            元コメントのとおり、WebViewとしてもパスワードマネージャとしても正規サイトに正規のアカウント情報を流しこんでるだけのまっとうな動作。
            だけど、そのまっとうな動作をさせるアプリを悪意をもって作れば、パスワードも奪えるって話。

            • by Anonymous Coward

              記事リンクにあるPDFの40,41ページ見ると
              Webのインプットフィールドとアプリのインプットフィールドがあってアプリ側にリークする感じぽいですよ

      • by Anonymous Coward

        どういう条件下だと被害らしい被害に合うんだろうね

        本質的にはWebview関係なくIMEの候補ですらやらかすんじゃないかな
        入力先に合わせてIsolationなんてしてくれないでしょ

        # パスワード入力用オブジェクトならサジェスト躱せるかもだけど日本語入力でShift押して英字とか10キーで入れちゃうと覚えちゃうんよ

  • by Anonymous Coward on 2023年12月13日 23時19分 (#4579012)

    CNET Japanの記事
    > フィッシングも悪意のあるアプリ内コードも必要としない

    じゃぁ悪意あるコードはどこに存在してるんだ?
    まずアプリ外で任意コードを実行する方法を教えてくれ。

    • by Anonymous Coward

      全く変な表現だと思うが、狙わなくても条件が成立しちゃうことがあるんでしょ
      それでアプリのフィールドに認証情報が入力されることがあっても悪意が無ければ使わないだけかな

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...