Потенцијална безбедносна грешка у АПИ-ју за аутоматско попуњавање Андроид Орео-а омогућава менаџерима лозинки да пропуштају податке као што су лозинке, адресе или кредитне картице.
Аутофилл је једна од највећих и најпубликованијих нових функција представљених издавањем Андроид 8.0 Орео. Многе различите апликације за управљање лозинкама, попут ЛастПасс-а, већ су имплементирале овај нови АПИ у своје апликације. И док се може доказати прилично побољшање у односу на претходне имплементације аутоматског попуњавања које користе услуге приступачности, постоји потенцијална безбедносна грешка коју треба размотрити. Прошлог месеца, на ГитХуб-у је објављена бела књига, која документује инхерентну грешку у Андроид Орео Аутофилл АПИ-ју која би могла потенцијално довести до тога да ваш менаџер лозинки процури више ваших личних података него што сте му дали дозволу. Направићемо брзи преглед беле књиге коју је написао Марк Марфи (познатији као ЦоммонсВаре) и објављен на својој ГитХуб страници 8. августа 2017.
Потенцијална грешка у цурењу података у АПИ-ју за аутоматско попуњавање Андроид Орео-а
Како функционише мана?
Имплементација аутоматског попуњавања у Андроид Ноугат-у (и нижим верзијама) и претраживачима попут Гоогле Цхроме-а је нешто заиста једноставно. Обично би апликације за управљање лозинкама користиле услуге приступачности да скенирају садржај екрана у потрази за кутијом за пријаву и препоручују податке за аутоматско попуњавање на основу онога што пронађу. Док је функционисало, то може изазвати значајно заостајање.
На Андроид Орео-у ово функционише мало другачије, јер су апликације за лозинку сада званично подржане са Аутофилл АПИ-јем. За апликације лозинки трећих страна више нису потребне услуге приступачности, јер сада могу да обављају улогу услуге аутоматског попуњавања, комуницирајући са апликацијама преко оквира за аутоматско попуњавање. Када се корисник фокусира на виџет, систем ће упаковати неке информације о том виџету/обрасцу и послати их у апликацију за аутоматско попуњавање. Апликација затим враћа релевантне податке аутоматског попуњавања као што су лозинке, е-поруке, кредитне картице или било која друга врста осетљивих података. Андроид систем делује као посредник између апликације која чува податке и оне која их тражи.
Међутим, злонамерне апликације или злонамерни софтвер заправо могу да искористе предност функције аутоматског попуњавања да би добили више података за себе. Злонамерна активност може захтевајте унос додатних података за аутоматско попуњавање помоћу невидљивог или скривеног виџета. Док корисник пристаје да попуни један од видљивих виџета, као што је формулар за пријаву или нешто слично, невидљиви виџет такође добија додатне податке а да га ви не видите. Ово може бити заиста опасно ако су те информације које су процуриле ваша лозинка, адреса или подаци о кредитној картици!
Снимци екрана изнад приказују злонамерну апликацију за тестирање која користи ову безбедносну грешку.
Гоогле-ов одговор на проблем
Према ЦоммонсВаре-у, ово безбедносно питање још увек нема јавно решење које је објавио Гоогле. Међутим, знамо да је Гоогле свестан проблема. ЦоммонсВаре наводи да су Гоогле инжењери признали да проблем постоји у приватном извештају о праћењу проблема, али да је било би тешко (ако не и немогуће) то стварно закрпити или избаците поправку.
Али то не значи да је аутоматско попуњавање потпуно небезбедно за коришћење, пошто Гоогле користи други приступ да обезбеди безбедност података. Компанија је инсистирање на томе да услуге аутоматског попуњавања решавају проблем са своје стране и као такав, покушава да подигне свест програмера да побољшају своје добављаче аутоматског попуњавања и учине их безбеднијим. Шта се тачно предлаже?
Пре свега, добављачи аутоматског попуњавања треба да поделе своје податке. Уместо да све податке аутоматског попуњавања држе у једном скупу, програмери би требало да поделе корисничке податке ускладиштене у партицијама. На пример, партиција адресе/телефона, партиција кредитне картице, партиција лозинке/корисничког имена итд. Услуга аутоматског попуњавања треба да преда податке само једне по једне партиције на основу фокусираног виџета. Ово је један од јавно доступне странице на апликацијама за аутоматско попуњавање које се штите од цурења података у невидљиве виџете.
Постоје и неке друге ствари које би програмери менаџера лозинки требали да ураде, кажу Гоогле инжењери. На пример, добављач аутоматског попуњавања треба да преда податке само одређеној апликацији која их је испоручила. Ово би требало да се уради тако што ћете проверити назив пакета и јавни потпис апликације тако да чак ни модификовани АПК не може да му приступи. Друга ствар би била да апликације за аутоматско попуњавање захтевају аутентификацију пре него што заиста пруже податке та активност потврде идентитета која информише корисника о томе које врсте података ће бити достављене апликацији која то захтева. Овај савет заправо има много грешака, од којих је најважнија та да ове делове савета заправо не спроводи Гоогле.
Имајте на уму да су многи од горенаведених предлога преузети из ЦоммонсВаре-овог извештаја о праћењу приватних проблема, а не са било које званичне Гоогле странице са документацијом. За даљи, више технички преглед како апликације које користе Аутофилл АПИ могу да се заштите од ове врсте напада, топло препоручујемо да прочитате пуна бела књига компаније ЦоммонсВаре.
Које су апликације безбедне од ове грешке?
Контактирали смо програмере 1Пассворд, Енпасс и ЛастПасс у вези ове рањивости, а безбедносни тимови који стоје иза ове 3 апликације су тврдио да су сигуран, иако још нисмо проверили ове тврдње.
Као што видимо у горњим изјавама, 1Пассворд захтева аутентификацију од корисника пре попуњавања података, такође их обавештавајући о томе који подаци ће бити попуњени унапред. Ово такође помаже код проблема са тихим попуњавањем, јер ће се искачући прозор за потврду идентитета појавити за сваку активност која тражи податке за аутоматско попуњавање.
Енпасс никада неће открити цео привезак за кључеве апликацији која захтева, било да је злонамерна или оригинална. Само сачуване ставке које одговарају називу пакета апликације која захтева биће представљене кориснику. Такође су потврдили да ће имати више мера у складу са Гугловим саветом.
Штавише, ЛастПасс нам је потврдио да, иако нису знали за проблем пре објављивања Андроид Орео-а, њихова апликација користи партиционисање података ради заштите корисника, заједно са другим проверама да би се уверило да ЛастПасс испуњава само апликацију која је повезана са уносом.
Иако не би требало бити апсолутно никаквих проблема са коришћењем ове 3 апликације, ако желите да останете потпуно јасни, требало би да онемогућите аутоматско попуњавање у потпуности на свом телефону док не потврдите код програмера менаџера лозинки да је њихова апликација безбедна од ове линије напад. Срећом, ово се може лако урадити тако што ћете отићи на Подешавања > Систем > Језици и унос > Напредно и пронаћи жељену опцију „Услуга аутоматског попуњавања“, додирнути је и изабрати „Ништа“.
Као што смо рекли горе, није познато да ли Гоогле заиста може да избаци решење за ово, тако да је коришћење поузданих апликација или једноставно онемогућавање функције једини начин да останете безбедни. Ако желите да прочитате више о овом питању и свим детаљима повезаним са њим, требало би да прочитате оригинал бели папир који то документује на ГитХуб-у.
Овај чланак је ажуриран 9/13/17 како би прецизније одражавао импликације одговора ЛастПасс, Енпасс и 1Пассворд.