Les mots de passe que vous enregistrez sur votre téléphone Android pourraient être exposés à cause de ce logiciel malveillant

Las contraseñas que guardas en tu móvil Android podrían quedar expuestas por culpa de este malware

Vos mots de passe enregistrés sur votre téléphone Android ne sont pas sécurisés: ce logiciel malveillant peut y accéder

Vos mots de passe enregistrés sur votre téléphone Android pourraient être exposés à cause de ce logiciel malveillant
Aucun gestionnaire de mots de passe ne vous protégera de ce nouveau logiciel malveillant capable d’accéder aux mots de passe enregistrés sur votre téléphone Android.

Les gestionnaires de mots de passe prétendent garder les informations d’identification des utilisateurs en sécurité, mais ce n’est pas toujours le cas. Un nouveau logiciel malveillant a été découvert et sa dangerosité est telle qu’il est capable d’exposer les mots de passe enregistrés sur votre téléphone Android. Le logiciel malveillant exploiterait une vulnérabilité de l’autocomplétion des informations d’identification sur Android.

Le rapport publié par les chercheurs de l’IIIT Hyderabad, relayé par TechCrunch, a qualifié cette vulnérabilité « d’AutoSpill ». La dangerosité est énorme, mettant en danger tous les utilisateurs qui enregistrent des mots de passe sur Android ou utilisent des applications de gestion des mots de passe.

Vos mots de passe enregistrés sur votre téléphone Android ne sont pas en sécurité: ce logiciel malveillant peut y accéder

Techniquement, le logiciel malveillant contourne le système de vérification de sécurité. Comment cela fonctionne-t-il? Il a été découvert que lorsqu’une application Android charge une page WebView, les gestionnaires de mots de passe peuvent être intentionnellement redirigés pour exposer les informations d’identification dans les boîtes de saisie de ces applications.

Cela se produit parce que lors du chargement d’une page au format WebView, les développeurs sont capables de voir le contenu de l’application car l’autocomplétion des mots de passe peut « se tromper » et entrer les informations d’identification dans l’application principale au lieu de seulement dans la page demandée dans cette situation.

L’exemple le plus évident se produit lorsque vous souhaitez accéder à une application qui permet la création de profils via d’autres services. Par exemple, en accédant à l’application Android de X, il y a plusieurs options de connexion et l’une d’entre elles est le compte Google. Lorsque vous sélectionnez cette méthode, une fenêtre WebView de Google s’ouvre, le gestionnaire de mots de passe apparaît et au lieu d’entrer les informations d’identification uniquement dans cette fenêtre, il les expose à l’application principale.

Évidemment, le problème réside dans l’abus que les attaquants peuvent faire de cette situation. Par exemple, une application malveillante qui imite la connexion à Facebook ou Google exposerait les informations d’identification des utilisateurs sans qu’ils les écrivent ou tombent dans le piège, avec la faute revenant au gestionnaire de mots de passe.

Presque aucun gestionnaire de mots de passe externe à celui d’Android ne parvient à se protéger. L’étude a mis à l’épreuve différents services de stockage d’informations d’identification tels que LastPass ou 1Password, tous étant affectés par ce logiciel malveillant. Il ne reste plus qu’à attendre pour voir si Google prend des mesures à ce sujet.

Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :

YouTube video