09/05
Les gestionnaires de mots de passe sur Android peuvent faire fuiter vos données de connexion
Encore une nouvelle faille de sécurité détectée sur Android. Cette fois-ci, elle concerne les gestionnaires de mot de passe qui peuvent laisser fuiter vos données de connexion.
Les gestionnaires de mots de passe permettent de stocker vos données de connexion sur un site ou une application. Ces derniers ont aussi la capacité de faire du remplissage automatique. Cependant, selon de récentes études, le remplissage automatique peut compromettre la sécurité de vos identifiants.
Nommée “AutoSpill” cette faille permet à une application malveillante sur Android de dérober vos mots de passe en toute discrétion. Trois chercheurs de l’IIITH en ont fait la démonstration lors de la conférence Black Hat Europe. Lorsqu’une application ouvre une fenêtre de prévisualisation web avec Webview, elle accède aux données saisies par le gestionnaire de mot de passe. Les chercheurs ont expliqué que des informations venant du gestionnaire de mots de passe sont saisis pour une application, “idéalement ces dernières ne devraient être accessibles que par la page web affichée à l’écran ”. Cependant, “l’opération de remplissage automatique peut accidentellement exposer les informations d’identification à l’application de base”.
Ainsi pour exemple, lorsque vous souhaitez vous connectez à Spotify via Facebook en utilisant votre gestionnaire de mots de passe. L’application Spotify pourra lire vos données. Cela devient donc dangereux dans le cas d’une version vérolée de Spotify qui pourra accéder à votre mot de passe Facebook en vous faisant croire que c’est légitime. “ Même sans hameçonnage, toute application malveillante qui vous demande de vous connecter via un autre site, comme Google ou Facebook, peut automatiquement accéder à des informations sensibles ” résume l’un des chercheurs.
Plusieurs gestionnaires de mots de passe sont touchés de 1Password à LastPass ainsi que Keeper et EnPass. Ces dernières diffusent des messages d’alertes. Cependant, c’est à Google de corriger la faille directement. Comme toujours, restez vigilants.
Source : Clubic