Android : ce malware infiltre les gestionnaires de mots de passe, mais pas tous

Une nouvelle attaque nommée AutoSpill est capable de récupérer les identifiants et mots de passe conservés dans des gestionnaires. Elle le fait à un moment précis et sans que l'utilisateur ne s'en aperçoive.

AutoSpill Android
Crédits : 123RF

Plutôt que de voler directement l'argent sur votre compte bancaire ou des cryptomonnaies, les pirates informatiques peuvent cibler les identifiants et mots de passe que vous utilisez pour vous connecter à différents services en ligne. Une manière de s'introduire dans ces derniers en laissant moins de traces. Pour éviter que quelqu'un ne devine vos sésames, vous avez pris l'habitude de les conserver dans un gestionnaire de mots de passe afin qu'ils soient générés aléatoirement et conservés de manière sécurisée.

Malheureusement, aussi protégés qu'ils soient, ces programmes ne sont pas infaillibles. On se souvient que LastPass a subi deux cyberattaques importantes après lesquelles les pirates sont repartis avec l'équivalent de 4,2 millions d'euros. Comme si ça ne suffisait pas, des chercheurs de l'International Institute of Information Technology ont découvert un nouveau type d'attaque appelé AutoSpill. Affectant les gestionnaires de mots de passe sur Android, elle survient au moment ou l'application complète automatiquement les informations de connexion.

L'attaque AutoSpill vole les identifiants et mots de passe enregistrés dans certains gestionnaires

Pour comprendre, il faut savoir que la plupart des applications Android utilise WebView pour afficher du contenu Web. Par exemple, cela permet de voir la page de connexion à un service directement dans l'appli, plutôt que d'être redirigé dans le navigateur. Les gestionnaires de mots de passe Android se servent aussi de WebView pour remplir automatiquement les identifiants. C'est là qu'il y a une faille, et elle peut être exploitée même sans que le pirate n'injecte du code JavaScript pour exécuter certaines commandes.

Lire aussi – Android : 12 millions d’utilisateurs menacés de mort et extorqués par des applications

AutoSpill se sert du fait qu'Android ne défini pas précisément (ou bien n'arrive pas à définir) qui est responsable de sécuriser les données transitant pendant l'auto-complétion. En cas d'attaque, une fausse application affichant une page de connexion pourrait voler les informations sans que l'utilisateur ne s'en rende compte.

Les équipes ont testé Google Smart Lock, Dashlane, 1Password, LastPass, Enpass, Keepass2Android et Keeper. Seuls Google Smart Lock et Dashlane ne sont pas vulnérables à AutoSpill sans injection Javascript. S'il y en a une, tous sont concernés. Les porte-paroles de 1Password, LastPass, Keeper Security et Google ont indiqué soit qu'ils planchaient sur un correctif, soient qu'ils avaient déjà mis en place une sécurité face à ce type d'attaque.

Source : Bleeping Computer


Réagissez à cet article !

Demandez nos derniers articles !

Samsung corrige enfin l’un des plus gros défauts de Voice Recorder, voici comment

Le convertisseur de parole en texte de Samsung s’améliore. En effet, le Voice Recorder serait sur le point de bénéficier d’une amélioration conséquente, permettant d’optimiser la retranscription. De nos jours,…

Mauvaise nouvelle pour l’iPhone Ultra : Apple ferait un énorme sacrifice pour le rendre plus fin

Le très attendu smartphone pliable d’Apple souffrirait d’une faiblesse, et non des moindres. En effet, l’iPhone Ultra disposerait d’une batterie relativement petite, d’une capacité nettement inférieure à celle de l’iPhone…

Mais quel est ce site que Netflix veut racheter pour 250 millions de dollars ?

La plus célèbre des plateformes de streaming s’enrichit. En effet, selon un nouveau rapport, Netflix s’apprêterait à mettre la main sur une application de suivi de films particulièrement populaire. On…

Apple fait la chasse aux traqueurs : pourquoi votre navigateur ne suffit pas à vous protéger du pistage

Apple communique beaucoup en ce moment sur les protections anti-traqueurs de Safari, et le navigateur bloque effectivement une partie du pistage. Le souci, c’est que sur un smartphone, une partie…

Vous détestez l’IA sur Android ? Google prépare enfin cette option très attendue

L’intelligence artificielle sur Android, on l’aime ou on la déteste. Et, bonne nouvelle pour les utilisateurs les moins friands d’IA, Google s’apprêterait à lancer une option permettant à celle-ci d’être…

Alien Earth saison 2 : Disney+ frappe fort, plusieurs stars de Game of Thrones au casting

Le casting de la deuxième saison d’Alien : Earth s’agrandit. Et le moins que l’on puisse dire, c’est qu’avec Alien : Earth saison 2, Disney+ se paie un casting de…

TV OLED S85H 4K Samsung : vite, profitez de 440 € de réduction sur l’une des meilleures TV OLED du marché

Si vous cherchez à vous offrir une TV avec une qualité d’image exceptionnelle, il ne faut pas chercher midi à 14h et choisir un modèle avec une dalle OLED. Et…

Les trous noirs pourraient se reproduire entre eux : un nouveau scénario fascinant se dessine

L’origine des trous noirs ne cesse d’intriguer les scientifiques. Et, selon une nouvelle étude, certains d’entre eux se seraient formés via un processus bien particulier… Les trous noirs sont aussi…

Instagram et Facebook sont “addictifs” et menacent le “bien-être physique et mental” des utilisateurs, selon l’UE

La Commission européenne veut forcer Meta à revoir le fonctionnement de Facebook et Instagram afin de les rendre moins addictifs. La Commission européenne estime que Meta enfreint la législation sur…

Netflix veut diffuser des chaînes TV en direct, après avoir essayé de les tuer

Netflix veut améliorer l’engagement sur sa plateforme de streaming vidéo. La diffusion de chaînes TV en direct et l’agrégation sont des pistes suivies pour y parvenir. Netflix va bien. Les…