Přišel o 125 000 Kč jen kvůli tomu, že používá telefon. Vyhněte se chybě, kterou udělal, jinak vás čeká úplně to samé

Používáte telefon? Pak se i vám může stát, že během chvilky přijdete o 125 000 Kč. Dejte si pozor, stane se to velmi rychle.

Zdroj fotografie: Diego Salatino / Creative Commons / CC BY-SA

Máte na svém chytrém telefonu nebo jiném zařízení s operačním systémem Android nainstalovaný správce hesel? Pokud ano, je dobré být ostražitý, protože některé z nich nechtěně vystavují vaše přihlašovací údaje. Čech, jehož identita zůstává v rámci zachování anonymity skryta, kvůli tomu přišel o 125 000 Kč.

Správce hesel

Tento problém souvisí s funkcí automatického vyplňování ve správci hesel pro Android, a byl odhalen výzkumníky během konference Black Hat Europe. Tato chyba, nazvaná AutoSpill, umožňuje odhalení uložených přihlašovacích údajů v aplikacích pro správu hesel tím, že obejde bezpečný mechanismus automatického vyplňování. Zranitelnost byla identifikována na systémech Android 10, 11 a 12 a postihuje známé správce hesel, jako jsou 1Password, Lastpass, Enpass, Keeper a Keepass2Android. I bez povoleného JavaScriptu byla většina těchto aplikací náchylná na útok, a s povoleným JavaScriptem byl útok úspěšný ve všech případech. 

Únik dat

Tato chyba je aktivní ve chvíli, kdy správci hesel používají automatické vyplňování pro zadání přihlašovacích údajů do aplikací, například Google nebo Facebook. Za určitých okolností se pak tyto údaje objeví v polích aplikace WebView, což umožní neoprávněným útočníkům jejich odčítání. Abychom vysvětlili, WebView je součástí systému Android, která umožňuje aplikacím zobrazovat webový obsah přímo v rámci aplikace, což eliminuje nutnost přecházet do externího prohlížeče. 

Zdroj fotografie: Juliescribbles / Creative Commons / CC BY-SA

Můžete přijít o vše

Tato komponenta je využívána vývojáři pro efektivní zobrazení webových informací, a je klíčová pro správnou funkci mnoha aplikací. Při zneužití této chyby se však přihlašovací údaje objeví v polích této komponenty, což představuje riziko pro uživatele. Výzkumníci již informovali o této chybě Google a provozovatele jednotlivých aplikací pro správu hesel. Zároveň zkoumají, zda by tato zranitelnost mohla být přítomná i v prostředí operačního systému Apple iOS. Pokud používáte některý ze správců hesel, doporučuje se pravidelně sledovat dostupnost aktualizací a ty ihned instalovat, abyste minimalizovali riziko možného úniku přihlašovacích údajů.