Black Hat Europe 2023: Neuer Angriff "AutoSpill" auf Android-Passwortmanager
Sicherheitsforscher haben einige Passwortmanager für Android so in die Irre geführt, dass sie Login-Daten herausgeben – unbemerkt und ohne JavaScript-Tricks.
(Bild: Daniel AJ Sokolov)
Sicherheitsforscher vom International Institute of Information Technology (IIIT) aus Hyderabad in Indien haben auf der Black Hat Europe 2023 Angriffe auf Passwortmanager für Android vorgestellt. Sie ermöglichen es einer malignen App, im Passwortmanager gespeicherte Daten unbemerkt abzugreifen.
Als AutoSpill bezeichnet das Team um den Sicherheitsforscher Ankit Gangwal einen Angriff auf den Autofill-Vorgang, bei dem ein Passwortmanager Benutzername und Passwort an Eingabefelder übergibt. Der Login in Benutzerkonten geschieht innerhalb von Apps oft mithilfe des Moduls Android System WebView – im Prinzip eine Art "nackte" Chrome-Engine, die App-Entwickler an ihre Bedürfnisse anpassen können, um innerhalb der eigenen App Web-Inhalte anzuzeigen, wozu auch Login-Eingabefelder gehören. Und auch Passwortmanager kommunizieren mit WebView, um dort Credentials einzutragen.
(Bild: Präsentations-PDF des IIIS)
Wie BleepingComputer berichtet, konnten die Forscher nun zeigen, dass es möglich ist, die von verschiedenen Passwortmanagern automatisch eingetragenen Inhalte mittels einer präparierten App auszulesen (siehe auch diese Präsentation). Anders als bei einigen anderen Angriffen war dafür in den meisten Fällen auch keine Nutzung von JavaScript nötig. Möglich ist der Angriff demnach durch eine Schwachstelle innerhalb von Android selbst, denn es gebe gar keine klar definierten Sicherheitsrichtlinien für den Umgang mit Autofill-Daten in WebView-Prozessen. So kommt die App an die eingetragenen Credentials heran, die eigentlich nur innerhalb von WebView für den Login-Vorgang benutzt werden sollten.
Hier besteht auch ein Unterschied zu klassischem Phishing: Die böswillige App zeigt keine gefälschte Login-Seite an, sondern lädt einen legitimen Login-Dialog etwa eines Online-Shops, Mailproviders, Cloudspeichers und so weiter, kann die von einem Passwortmanager dort ausgefüllten Felder dann aber mitlesen.
Betroffene Software
Getestet hat das IIIT-Team das Ganze mit den Passwortmanagern 1Password, Dashlane, Enpass, LastPass, Keepass2Android und Keeper sowie mit dem in Android meist nativ enthaltenen Google Smart Lock. Dem Versuch, Credentials ohne Zuhilfenahme von JavaScript-Tricks zu extrahieren, widerstanden nur Dashlane und Google Smart Lock; mit JavaScript waren alle Kandidaten angreifbar.
Die Plattformen waren ein Xiaomi Poco F1 mit Android 10 (Patchlevel 12/2020), ein Samsung Galaxy Tab S6 Lite mit Android 11 (01/2022) und ein Samsung Galaxy A52 mit Android 12 (04/2022). Der Test mit solchen älteren Plattformen mag auf den ersten Blick seltsam erscheinen, ist aber durchaus praxisnah: Bei allen dreien handelt es sich um Modelle mit hoher Beliebtheit, die heute zwischen zweieinhalb und fünf Jahre alt sind.
(jss)
