Ahli IT Temukan Password Manager Android Malah Bocorkan Kata Sandi
Sejumlah pengelola kata sandi (password manager) seluler populer secara tidak sengaja membocorkan kredensial (pasangan username dan password) pengguna karena kerentanan dalam fungsi isi otomatis aplikasi Android.
Menurut para peneliti di IIIT Hyderabad, kerentanan yang dijuluki “AutoSpill” itu dapat mengekspos kredensial pengguna pada pengelola kata sandi seluler dengan menghindari mekanisme pengisian otomatis Android yang aman.
Hal itu mereka presentasikan dalam gelaran Black Hat Europe awal bulan ini.
SCROLL TO CONTINUE WITH CONTENT
Para peneliti, yakni Ankit Gangwal, Shubham Singh dan Abhijeet Srivastava, menemukan ketika aplikasi Android memuat halaman login di WebView, pengelola kata sandi bisa “bingung” soal di mana mereka harus menargetkan informasi login pengguna.
Alhasil, program dan malah mengekspos kredensial mereka ke aplikasi yang mendasarinya.
Hal ini karena WebView, yang adalah mesin bawaan dari Google, memungkinkan pengembang menampilkan konten web dalam aplikasi tanpa meluncurkan browser web. Permintaan isi otomatis pun dibuat.
“Misalkan Anda mencoba masuk ke aplikasi musik favorit di perangkat seluler Anda dan Anda menggunakan opsi ‘masuk melalui Google atau Facebook’. Aplikasi musik akan membuka halaman masuk Google atau Facebook di dalamnya melalui WebView,” kata Gangwal, dikutip dari TechCrunch.
Ketika ‘dipanggil’ untuk mengisi kredensial secara otomatis, idealnya pengelola kata sandi mengisi otomatis hanya ke halaman Google atau Facebook yang sudah dimuat.
Namun, para peneliti menemukan operasi pengisian otomatis dapat secara tidak sengaja mengekspos kredensial ke aplikasi dasar.
Gangwal mencatat dampak dari kerentanan ini, khususnya dalam skenario di mana aplikasi dasar berbahaya, sangatlah signifikan.
“Bahkan tanpa phishing, aplikasi jahat apa pun yang meminta Anda masuk melalui situs lain, seperti Google atau Facebook, dapat secara otomatis mengakses informasi sensitif,” ungkapnya.
Para peneliti menguji kerentanan AutoSpill menggunakan beberapa pengelola kata sandi terpopuler, termasuk 1Password, LastPass, Keeper, dan Enpass, pada perangkat Android baru dan terkini.
Mereka menemukan bahwa sebagian besar aplikasi rentan terhadap kebocoran kredensial, bahkan ketika injeksi JavaScript dinonaktifkan. Ketika injeksi JavaScript diaktifkan, semua pengelola kata sandi rentan terhadap kerentanan AutoSpill mereka.
Gangwal mengaku sudah memberi tahu Google dan pengelola kata sandi yang terkena dampak mengenai kelemahan tersebut.
“Meskipun perbaikan ini akan semakin memperkuat postur keamanan kami, fungsi isi otomatis 1Password telah dirancang untuk mengharuskan pengguna mengambil tindakan eksplisit,” kata Canahuati.
“Pembaruan ini akan memberikan perlindungan tambahan dengan mencegah kolom asli diisi dengan kredensial yang hanya ditujukan untuk WebView Android,” jelas Chief Technology Officer 1Password Pedro Canahuati.
CTO perusahaan siber Keeper Security Inc, Craig Lurey, mengatakan perusahaan telah diberitahu tentang potensi kerentanan ini.
“Kami meminta video dari peneliti untuk menunjukkan masalah yang dilaporkan. Berdasarkan analisis, kami menentukan bahwa peneliti pertama kali menginstal aplikasi berbahaya dan kemudian, menerima perintah dari Keeper untuk memaksa pengaitan aplikasi berbahaya tersebut ke catatan kata sandi Keeper,” ujar Lurey.
Ia juga mengklaim dapat melindungi pengguna agar mereka tidak mudah mengisi kredensial ke dalam aplikasi terlebih aplikasi atau situs yang berbahaya.
Google dan Enpass tidak menanggapi pertanyaan TechCrunch.
Alex Cox, Direktur Tim Intelijen, Mitigasi, dan Eskalasi Ancaman LastPass, mengatakan sebelum mengetahui temuan para peneliti, LastPass sudah menerapkan mitigasi melalui peringatan pop-up dalam produk ketika aplikasi mendeteksi upaya untuk memanfaatkan eksploitasi.
“Setelah menganalisis temuan, kami menambahkan kata-kata yang lebih informatif pada pop-up,” kata Cox.
Para peneliti sekarang sedang menjajaki kemungkinan penyerang berpotensi mengekstraksi kredensial dari aplikasi ke WebView. Tim juga sedang menyelidiki apakah kerentanan tersebut dapat direplikasi di iOS.
