Bleeping Computerは12月9日(米国時間)、「AutoSpill attack steals credentials from Android password managers」において、Androidのパスワードマネージャから認証情報を窃取する新しい攻撃手法「AutoSpill」が開発されたと伝えた。この新しい手法はInternational Institute of Information Technology, Hyderabad(IIITH)の研究者たちによって開発されたもので、「AutoSpill: Zero Effort Credential Stealing from Mobile Password Managers - Black Hat Europe 2023 | Briefings Schedule」においてプレゼンテーションが行われている。
新しい攻撃手法「AutoSpill」の概要
AndroidデバイスではApple、Facebook、Microsoft、Googleなどのオンラインサービスの資格情報を使用してアプリのアカウントを確認する場合、WebViewフレームワークを使用して各サービスのログインページを表示し、資格情報を入力する。このとき、パスワードマネージャーに資格情報が登録されている場合は自動的に入力が行われる。
研究者たちによると、AutoSpillはパスワードマネージャーからWebViewのログインページに認証情報が自動入力される際に情報を窃取する新しい攻撃手法とされる。人気のあるパスワードマネージャーの多くがAutoSpill攻撃に脆弱とされ、JavaScriptインジェクションが有効な場合はすべてが脆弱とされる。JavaScriptインジェクションが無効な場合、Google Smart Lock 13.30.8.26およびDashLane 6.2221.3はAutoSpill攻撃を防ぐことができるという。
AutoSpill攻撃の影響を受けるパスワードマネージャー開発元の対応状況
Bleeping ComputerはAutoSpill攻撃の影響を受けるパスワードマネージャのうち一部の開発メーカーに連絡し、この脆弱性に対処する予定はあるのか確認している。各メーカーの回答は次のとおり。
1Password
AutoSpill攻撃を認識し、修正に向けて現在作業中。AndroidのWebViewが使用されている場合、認証情報がネイティブフィールドに入力されないようにすることで保護する予定。
LastPass
この脆弱性は標的のデバイスに悪意のあるアプリをインストールする能力と機会が必要であり、実際的にはリスクは低い。LastPassではこの脆弱性の悪用を検出するとポップアップ警告を表示する緩和策をすでに導入している。
Keeper
Keeperには信頼できないアプリケーションや明示的に許可されていないサイトに資格情報が自動的に入力されないようにする保護手段が用意されている。AutoSpill攻撃を行うには悪意のあるアプリをインストールし、この悪意のあるアプリを操作するか、または重要なセキュリティ設定を上書きする必要がある。ユーザーにはGoogle Play公式ストアから信頼のおけるアプリをインストールすることを推奨する。
Googleパスワードマネージャーを使用する場合、アプリが所有していない可能性のあるドメインのパスワード入力では、ユーザーに警告が表示され、適切なフィールドのみパスワードが入力される。また、GoogleはWebView経由でのログインに対してサーバサイドで保護を実装している。
Googleはサードパーティのパスワードマネージャーの開発メーカーに対し、パスワードを入力する場所について細心の注意を払うことを求めている。また、WebViewのベストプラクティスとして「AutofillService | Android Developers」を提供しており、すべてのパスワードマネージャーの開発メーカに対応を推奨している。