AndroidのパスワードマネージャーからWebViewを悪用して資格情報を盗み出せる脆弱性「AutoSpill」が発見される

2023年12月にロンドンで開催されたセキュリティカンファレンス「Black Hat Europe」で、Androidのパスワードマネージャーから資格情報を盗み出すことを可能にする「AutoSpill」という脆弱(ぜいじゃく)性について、インドのハイデラバード国際情報技術大学の研究チームが発表しました。
AutoSpill: Credential Leakage from Mobile Password Managers | Proceedings of the Thirteenth ACM Conference on Data and Application Security and Privacy
https://dl.acm.org/doi/10.1145/3577923.3583658

Your mobile password manager might be exposing your credentials | TechCrunch
https://techcrunch.com/2023/12/06/your-mobile-password-manager-might-be-exposing-your-credentials/
Vulns in Android WebView, Password Managers Can Leak User Credentials
https://www.darkreading.com/cyberattacks-data-breaches/android-vulnerability-leaks-credentials-from-password-managers-
パスワードマネージャーはアプリやウェブサービスのIDやパスワードを管理し、必要な時にサクッと自動入力してくれるため、多くのPCやスマートフォンユーザーに愛用されています。ところが、ハイデラバード国際情報技術大学のセキュリティ研究者らは、Androidの安全な自動入力メカニズムを回避し、モバイル版パスワードマネージャーから資格情報を盗み出せる脆弱性「AutoSpill」を発見したと報告しました。
AndroidやiOSのモバイルアプリでは常にアプリ画面のみを表示しているわけではなく、必要に応じてWebコンテンツを表示する場合もあります。そんな時にいちいちアプリを離れてブラウザを開くのは面倒なため、アプリ内にウェブページを表示できる「WebView」という機能が多くのアプリに実装されています。
研究チームは、AndroidアプリがWebViewを使用してログインページを開いた際、資格情報を自動入力しようとしたパスワードマネージャーが「混乱」してしまい、誤ってアプリのネイティブフィールドに資格情報を公開する可能性があることを発見しました。
研究チームのAnkit Gangwal氏は、「モバイルデバイスでお気に入りの音楽アプリにログインしようとして、『GoogleまたはFacebook経由でログイン』というオプションを使用したとします。音楽アプリはWebViewを介してGoogleまたはFacebookのログインページを開きます。パスワードマネージャーが呼び出されて資格情報が自動入力される場合、理想的には、読み込まれたGoogleまたはFacebookページにのみ自動入力する必要があります。しかし、自動入力操作によって、資格情報が誤ってベースアプリに公開される可能性があることがわかりました」と述べています。

AutoSpillと名付けられたこの脆弱性は、特にベースアプリに悪意がある場合に重大だとのこと。Gangwal氏は、「フィッシングでなくても、GoogleやFacebookなど他のサイト経由でログインするよう求める悪意のあるアプリは、自動的に機密情報にアクセスする可能性があります」と指摘しました。
実際に研究チームは最新のAndroidデバイスで、1Password・LastPass・Keeper・Enpassといった人気のあるパスワードマネージャーを使用し、AutoSpillが動作するかどうかをテストしました。その結果、ほとんどのアプリはJavaScriptインジェクションを無効にしている場合でもAutoSpillに対して脆弱であり、有効にしている場合はすべてのパスワードマネージャーが脆弱だったそうです。
すでに研究チームは、Androidを開発するGoogleおよび影響を受けたパスワードマネージャーの開発企業に対し、AutoSpillについて警告したとのことです。

1Passwordの最高技術責任者(CTO)を務めるPedro Canahuati氏は、テクノロジー系メディアのTechCrunchに対し、1PasswordはAutoSpillを特定して修正に取り組んでいると主張しています。「この修正によって当社のセキュリティ体制はさらに強化されますが、そもそも1Passwordの自動入力機能は、ユーザーが明示的にアクションを起こす必要があるように設計されています。今回のアップデートにより、ネイティブフィールドにAndroidのWebViewのみを想定した認証情報が入力されるのを防ぐことで、さらなる保護が提供されます」と、Canahuati氏は述べました。
また、LastPassの脅威インテリジェンス・緩和・エスカレーションチームのディレクターであるAlex Cox氏は、LastPassは今回の調査結果が判明する前から、アプリがエクスプロイトを利用しようとする試みを検出した際に、製品内のポップアップ警告を表示していたと主張。「調査結果を分析した後、ポップアップにもっと有益な文言を追加しました」とCox氏はTechCrunchに語りました。
なお、研究チームは攻撃者がアプリからWebViewへ認証情報を抽出する可能性を探っているほか、AutoSpillがiOSで再現できるかどうかも調査しているとのことです。