이미지 출처: 브라이스 더빈/테크크런치
다수의 인기 있는 모바일 비밀번호 관리자는 Android 앱 자동 완성 기능의 취약점으로 인해 의도치 않게 사용자 자격 증명을 유출합니다.
이번 주에 이 취약점을 발견하고 연구 결과를 Black Hat Europe에서 발표한 IIIT 하이데라바드(IIIT Hyderabad) 대학 연구원에 따르면, ‘AutoSpill’이라고 불리는 이 취약점은 안드로이드의 보안 자동 완성 메커니즘을 우회하여 모바일 비밀번호 관리자에 저장된 사용자의 자격 증명을 노출시킬 수 있다고 합니다.
연구원인 Ankit Gangwal, Shubham Singh 및 Abhijit Srivastava는 개발자가 웹 브라우저를 실행하지 않고도 앱 내에서 웹 콘텐츠를 표시할 수 있도록 해주는 Google의 사전 설치된 엔진인 WebView에서 Android 앱이 로그인 페이지를 로드할 때 자동 완성이 생성된다는 사실을 발견했습니다. 요청이 생성되면 비밀번호 관리자는 사용자의 로그인 정보를 대상으로 삼아야 하는 위치에 대해 “혼란”할 수 있으며 대신 해당 자격 증명을 기본 애플리케이션의 기본 필드에 노출할 수 있습니다.
“모바일 장치에서 좋아하는 음악 앱에 로그인하려고 하며 ‘Google 또는 Facebook으로 로그인’ 옵션을 사용한다고 가정해 보겠습니다. 음악 앱은 WebView를 통해 자체적으로 Google 또는 Facebook 로그인 페이지를 엽니다. “라고 Gangwal은 비공개 프레젠테이션을 앞두고 TechCrunch에 설명했습니다. 수요일 Black Hat에서.
“자격 증명을 자동 완성하기 위해 비밀번호 관리자가 호출되면 로드된 Google 또는 Facebook 페이지만 자동 완성하는 것이 가장 좋습니다. 그러나 자동 완성 프로세스가 오류로 인해 기본 애플리케이션에 자격 증명을 노출할 수 있다는 사실을 발견했습니다.
Gangwall은 특히 기본 애플리케이션이 악성인 시나리오에서 이 취약점이 미치는 영향이 심각하다고 지적합니다. 그는 “피싱이 없더라도 구글이나 페이스북 등 다른 사이트를 통해 로그인을 요청하는 악성 앱은 자동으로 민감한 정보에 접근할 수 있다”고 덧붙였다.
연구원들은 신규 및 업데이트된 Android 기기에서 1Password, LastPass, Keeper, Enpass 등 가장 널리 사용되는 비밀번호 관리자를 사용하여 AutoSpill 취약점을 테스트했습니다. 그들은 JavaScript 주입이 비활성화된 경우에도 대부분의 애플리케이션이 자격 증명 유출에 취약하다는 사실을 발견했습니다. JavaScript 주입이 활성화되면 모든 비밀번호 관리자가 AutoSpill 취약점에 취약해졌습니다.
Gangwal은 Google에 결함을 알리고 비밀번호 관리자에게 영향을 미쳤다고 말했습니다.
1Password의 CTO인 Pedro Canahuati는 TechCrunch에 회사가 AutoSpill에 대한 수정 사항을 확인하고 작업 중이라고 말했습니다. Canahwati는 “수정 사항으로 인해 보안 상태가 강화되겠지만 1Password의 자동 완성 기능은 사용자가 명시적인 조치를 취하도록 설계되었습니다.”라고 말했습니다. “이 업데이트는 기본 필드가 Android WebView 전용 자격 증명으로 채워지는 것을 방지하여 추가 보호를 제공할 것입니다.”
Keeper CTO인 Craig Lurey는 TechCrunch와 공유한 발언에서 회사가 잠재적인 취약점에 대해 통보를 받았다고 말했지만 어떤 수정을 했는지 여부는 밝히지 않았습니다. “우리는 보고된 문제를 설명하기 위해 연구원에게 비디오를 요청했습니다. 분석에 따르면 연구원은 먼저 악성 애플리케이션을 설치한 다음 악성 애플리케이션을 Keeper의 비밀번호 기록에 강제 연결하라는 Keeper의 메시지를 수락한 것으로 확인되었습니다.”라고 Lowry는 말했습니다. .
Keeper는 “사용자가 명시적으로 승인하지 않은 신뢰할 수 없는 앱이나 사이트에 자격 증명을 자동으로 입력하지 못하도록 사용자를 보호하는 보호 장치가 마련되어 있다”고 밝혔으며, “특히 Android 플랫폼과 관련이 있으므로 연구원이 보고서를 Google에 제출할 것을 권고했습니다.”라고 말했습니다. “
Google과 Enpass는 TechCrunch의 질문에 응답하지 않았습니다. LastPass 대변인 Elizabeth Bassler는 보도 당시 논평을 하지 않았습니다.
Gangwal은 TechCrunch에 연구원들이 현재 공격자가 앱에서 WebView로 자격 증명을 유출할 가능성을 조사하고 있다고 말했습니다. 또한 팀은 해당 취약점이 iOS에서도 재현될 수 있는지 조사하고 있습니다.
“재화는 뛰어난 분석 능력을 가진 분석가로, 다양한 주제에 대한 깊은 통찰력을 가지고 있습니다. 그는 창조적인 아이디어를 바탕으로 여러 프로젝트를 주도해왔으며, 좀비 문화에 특별한 애정을 갖고 있습니다. 여행을 사랑하며, 대중 문화에 대한 그의 지식은 깊고 폭넓습니다. 알코올에 대한 그의 취향도 독특합니다.”
