Ikävä Android-haavoittuvuus saattaa vaarantaa salasanapalveluihin tallennetut tiedot. Ongelma liittyy automaattiseen täyttöön tekstiä kirjoitettaessa.
Salasanapalveluihin tallennetut tiedot saattavat olla vaarassa Androidista paljastuneen tietoturvaongelman takia. Järjestelmän automaattinen täyttö yhdessä WebView-toiminnallisuuden kanssa saattaa sekoittaa palvelun ja avata kyberrikolisille kaistan iskeä.
MAINOS (ARTIKKELI JATKUU ALLA)
WebViewiä käytetään, kun verkkosivustoja halutaan esittää sovelluksissa selainta käynnistämättä. Tyypillinen esimerkki on vaikkapa musiikkipalveluun kirjautuminen Google- tai Facebook-tunnuksilla, jolloin kirjautuminen hoituu verkkosivulta näyttävässä näkymässä, joka kuitenkin on toteutettu sovellusta vaihtamatta WebViewin avulla.
Salasanapalvelut täyttävät tyypillisesti automaattisesti kirjautumistietoja, ja toisinaan ne saattavat mennä sekaisin WebViewin kanssa. Pahimmassa tapauksessa palvelu voitaisiin huijata syöttämään kirjautumistietoja väärään paikkaan, käytännössä siis saastuneen sovelluksen käynnistämään ikkunaan, jolloin salasanat voisivat päätyä vääriin käsiin.
AutoSpilliksi nimetyn haavoittuvuuden paikansivat IIIT Hyderabadin tutkijat, jotka selvensivät löydöstään TechCrunchille. Tutkijoiden onnistui hyödyntää haavoittuvuutta ainakin 1Passwordilla, LastPassilla, Keeperillä ja Enpassilla, jotka kaikki ovat suosittuja salasanojen hallintapalveluita.
MAINOS (ARTIKKELI JATKUU ALLA)
Tutkijat kertoivat sittemmin löydöksestään myös Googlelle ja testaamilleen palveluille, ja toivoa sopii, että paikkaus kehitetään nopeasti.
Artikkelin julkaisuhetkellä ei ole tiedossa tapauksia, joissa AutoSpill-haavoittuvuutta olisi hyödynnetty tosielämässä.
Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla
Salasana hukassa?
Etkö ole vielä rekisteröitynyt? Rekisteröidy tästä »