Encore une nouvelle faille de sécurité détectée sur Android. Cette fois-ci, elle concerne les gestionnaires de mot de passe qui peuvent laisser fuiter vos données de connexion.
Les gestionnaires de mots de passe permettent de stocker vos données de connexion sur un site ou une application. Ces derniers ont aussi la capacité de faire du remplissage automatique. Cependant, selon de récentes études, le remplissage automatique peut compromettre la sécurité de vos identifiants.
Nommée “AutoSpill” cette faille permet à une application malveillante sur Android de dérober vos mots de passe en toute discrétion. Trois chercheurs de l’IIITH en ont fait la démonstration lors de la conférence Black Hat Europe. Lorsqu’une application ouvre une fenêtre de prévisualisation web avec Webview, elle accède aux données saisies par le gestionnaire de mot de passe. Les chercheurs ont expliqué que des informations venant du gestionnaire de mots de passe sont saisis pour une application, “idéalement ces dernières ne devraient être accessibles que par la page web affichée à l’écran ”. Cependant, “l’opération de remplissage automatique peut accidentellement exposer les informations d’identification à l’application de base”.
Ainsi pour exemple, lorsque vous souhaitez vous connectez à Spotify via Facebook en utilisant votre gestionnaire de mots de passe. L’application Spotify pourra lire vos données. Cela devient donc dangereux dans le cas d’une version vérolée de Spotify qui pourra accéder à votre mot de passe Facebook en vous faisant croire que c’est légitime. “ Même sans hameçonnage, toute application malveillante qui vous demande de vous connecter via un autre site, comme Google ou Facebook, peut automatiquement accéder à des informations sensibles ” résume l’un des chercheurs.
Plusieurs gestionnaires de mots de passe sont touchés de 1Password à LastPass ainsi que Keeper et EnPass. Ces dernières diffusent des messages d’alertes. Cependant, c’est à Google de corriger la faille directement. Comme toujours, restez vigilants.
Source : Clubic
Freebox Crystal et One, même date de fin, mais pas les mêmes raisons. La première…
La justice autorise désormais le blocage de nouveaux outils de contournement comme les VPN et…
Nouveau numéro de votre magazine hebdomadaire “Totalement Fibrés” , en direct tous les vendredis à…
Canal+ met fin à son différend fiscal avec l’État. Après plusieurs années de contentieux, Canal+…
"Chez Free, on aime faire les choses différemment", et l'opérateur le prouve en vidéo en…
Amazon Prime enrichit cette semaine son offre avec une sélection particulièrement fournie, mêlant aventure poétique,…