हैदराबाद स्थित अंतर्राष्ट्रीय सूचना प्रौद्योगिकी संस्थान (IIIT) के रिसर्चर्स ने ऑटोस्पिल (AutoSpill) नाम के एक नए अटैक का खुलासा किया है, जिसे Android पर अकाउंट क्रेडेंशियल्स को चोरी करने के लिए डिजाइन किया गया है। रिसर्चर्स ने ब्लैक हैट यूरोप (Black Hat Europe) सुरक्षा सम्मेलन में अपनी इस रिपोर्ट को सबसे सामने रखा, जिससे पता चला कि अधिकांश Android पासवर्ड मैनेजर जावास्क्रिप्ट इंजेक्शन के बिना भी AutoSpill अटैक से खुद को बचाने में असमर्थ हो सकते हैं।
IIIT-H ने अपनी एक रिसर्च (via
BleepingComputer) को Black Hat यूरोप के सुरक्षा सम्मेलन में सामने रखा, जिसमें साबित किया गया है कि Android पर कई पासवर्ड मैनेजर अकाउंट डिटेल्स को सुरक्षित रखने में अक्षम हैं। इन पासवर्ड मैनेजर को हैकर्स बिना जावास्क्रिप्ट इंजेक्शन के AutoSpill अटैक के जरिए हैक कर सकते हैं। Android सिस्टम में ऐप आमतौर पर वेब कंटेंट दिखाने के लिए वेबव्यू कंट्रोलर्स का उपयोग करते हैं, जैसे ऐप के भीतर लॉगिन पेज। ऐसा छोटे-स्क्रीन वाले डिवाइस को इस्तेमाल करने वाले यूजर्स का अनुभव बेहतर बनाने के लिए किया जाता है। इसमें यूजर्स को ब्राउजर पर भेजे जाने की जरूरत के बिना लॉग-इन उसी पेज पर उपलब्ध करा दिया जाता है।
अब यह असल में काम कैसे करता है? चलिए जानते हैं। जब कोई ऐप Facebook, Google या किसी अन्य सर्विस पर लॉग-इन करने के लिए पेज लोड करता है, तो अकसर देखा जाता है कि Android पर कोई भी पासवर्ड मैनेजर पहले से सेव उस अकाउंट के क्रिडेंशियल्स को अपने आप दिखा देता है और सबमिट करने का ऑप्शन देता है। ऐसा करने के लिए ऐप प्लेटफॉर्म के वेबव्यू फ्रेमवर्क का इस्तेमाल करते हैं।
रिपोर्ट में बताया गया है कि AutoSpill अटैक इस प्रक्रिया में कमजोरियों का फायदा उठाता है, जिससे हैकर्स को जावास्क्रिप्ट इंजेक्शन के बिना भी, इनवोकिंग ऐप पर ऑटो-फिल क्रेडेंशियल्स को एक्सेस करने की इजाजत मिलती है। यह भेद्यता ऑटोमेटिकली फिल किए गए डेटा की सुरक्षित हैंडलिंग के लिए जिम्मेदारी को लागू करने या स्पष्ट रूप से परिभाषित करने में Android की विफलता से पैदा होती है।
रिसर्चर्स ने Android वर्जन 10, 11 और 12 पर विभिन्न पासवर्ड मैनेजर के खिलाफ ऑटोस्पिल अटैक को टेस्ट किया। कमजोर पासवर्ड मैनेजर में 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048, और Keepass2Android 1.09c-r0 शामिल थे। Google Smart Lock 13.30.8.26 और Daslane 6.2221.3 ने ऑटोफिल के लिए एक अलग तकनीकी दृष्टिकोण अपनाया, जिसमें जब तक कि जावास्क्रिप्ट इंजेक्शन का उपयोग नहीं किया जाता, तब तक होस्ट ऐप में संवेदनशील डेटा लीक से बचा जा सके।
BleepingComputer ने इन सभी ऐप्स से इस मामले में टिप्पणी के लिए संपर्क किया। मामले में Google ने भी रिप्लाई किया और कहा, "Android डेवलपर्स द्वारा वेबव्यू का उपयोग विभिन्न तरीकों से किया जाता है, जिसमें उनके ऐप्स में उनकी स्वयं की सेवाओं के लिए लॉगिन पेज होस्ट करना शामिल है। यह समस्या इस बात से संबंधित है कि कैसे पासवर्ड मैनेजर वेबव्यू के साथ इंटरैक्ट करते समय ऑटोफिल एपीआई का लाभ उठाते हैं।"
कंपनी ने आगे कहा, "हम अनुशंसा करते हैं कि थर्ड-पार्टी पासवर्ड मैनेजर इस बात के प्रति संवेदनशील हों कि पासवर्ड कहां इनपुट किया जा रहा है, और हमारे पास WebView के वे सर्वोत्तम तरीके हैं जिन्हें हम सभी पासवर्ड मैनेजर्स को लागू करने की सलाह देते हैं। एंड्रॉयड पासवर्ड मैनेजर्स को नेटिव व्यू और वेबव्यू के बीच अंतर करने के लिए आवश्यक संदर्भ प्रदान करता है, साथ ही यह भी बताता है कि जो लोड किया जा रहा वेबव्यू होस्टिंग ऐप से संबंधित नहीं है।"
इसका उदाहरण देते हुए Google ने कहा, "एंड्रॉयड पर ऑटोफिल के लिए गूगल पासवर्ड मैनेजर का उपयोग करते समय यूजर्स को चेतावनी दी जाती है कि यदि वे किसी ऐसे डोमेन के लिए पासवर्ड दर्ज कर रहे हैं जो गूगल निर्धारित करता है कि होस्टिंग ऐप का स्वामित्व नहीं रखता है और पासवर्ड केवल उचित फील्ड में भरा जाता है। Google केवल WebView के जरिए लॉगिन के लिए सर्वर साइड सुरक्षा लागू करता है।"
कुछ अन्य पासवर्ड मैनेजर्स ने भी वेबसाइट को इसपर जवाब दिया है, जिन्हें आप इस
रिपोर्ट में पढ़ सकते हैं।