Android : vulnérabilité de sécurité dans les gestionnaires de mots de passe

Une vulnérabilité dans Android menace la sécurité des gestionnaires de mots de passe : sous certaines conditions, il est possible de lire les mots de passe que le gestionnaire de mots de passe insère automatiquement dans les sites Web.

Faille de sécurité Android dans les gestionnaires de mots de passe

La faille de sécurité, les chercheurs de l’Institut international des technologies de l’information (IIIT) au salon de la sécurité Chapeau noir présenté s’appelle AutoSpill. Cela ne fonctionne que lorsque les applications utilisent le module WebView d’Android, qui permet d’ouvrir des pages Web dans une application au lieu de pointer vers le navigateur. Si tel est le cas, tous les gestionnaires de mots de passe testés sont vulnérables à la vulnérabilité avec une injection JavaScript supplémentaire de code malveillant. Sans l’injection, il reste encore 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 et KeePass2Android 1.09c-r0 qui peuvent être trompés. Google Smart Lock et Dashlane sont alors en sécurité.

Toutefois, le déficit de sécurité n’est pas une réussite assurée. Pour exploiter cette vulnérabilité, les criminels devraient développer et introduire clandestinement dans le Play Store une application qui ouvre les pages de connexion pertinentes à partir desquelles ils souhaitent voler les données d’accès. En fonction du gestionnaire de mots de passe, les utilisateurs devraient alors également accepter une requête de sécurité afin que les données puissent être insérées. Ce n’est qu’alors que les données pourront être consultées.

Si NordPass vous propose une remise inférieure, videz le cache de votre navigateur ou réessayez en mode navigation privée.

Comment se protéger

Dans les applications, connectez-vous uniquement aux sites Web qui appartiennent également à l’application, comme le site Web du fabricant. Vous ouvrez d’autres pages dans le navigateur – personne ne peut les lire. Assurez-vous également de télécharger uniquement des applications à partir de sources officielles, de vérifier le fabricant et d’utiliser une application antivirus pour empêcher les injections JavaScript. Google et les fabricants de gestionnaires de mots de passe en sont informés. Par exemple, certains outils avertissent lorsqu’une application ouvre des sites Web externes et doit y saisir des données d’accès.