안드로이드에서 계정 자격증명을 도용하는 새로운 공격 방법 'AutoSpill'이 개발되었다고 보안 연구자들이 밝혔습니다. 이 공격은 안드로이드의 대부분 비밀번호 관리자가 취약하며, 자바스크립트 주입이 없어도 발생할 수 있다고 하였습니다. 안드로이드 앱들은 종종 WebView 컨트롤을 사용하여 웹 콘텐츠를 렌더링하며, 이 과정에서 앱이 로그인 페이지를 로드할 때 사용자의 계정 자격증명을 자동으로 입력합니다.

AutoSpill의 문제는 안드로이드가 자동입력된 데이터의 안전한 처리에 대한 책임을 명확히 정의하거나 강제하지 않아, 이 데이터가 유출되거나 호스트 앱에 의해 포착될 수 있다는 것입니다. 공격 시나리오에서는 로그인 양식을 제공하는 악성 앱이 사용자의 자격증명을 포착할 수 있으며, 이 공격에 대한 추가적인 기술적 세부사항은 Black Hat Europe 프레젠테이션에서 확인할 수 있습니다.

연구자들은 안드로이드 10, 11, 12에서 여러 비밀번호 관리자를 대상으로 AutoSpill을 테스트하였고, 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048, Keepass2Android 1.09c-r0 등이 안드로이드의 자동입력 프레임워크를 사용하기 때문에 공격에 취약하다는 결과를 얻었습니다. 그러나 Google Smart Lock 13.30.8.26과 DashLane 6.2221.3는 자바스크립트 주입이 사용되지 않는 한 호스트 앱에 민감한 데이터를 유출하지 않는 다른 기술적 접근법을 따랐습니다.

요약

- 안드로이드에서 계정 자격증명을 도용하는 새로운 공격 방법 'AutoSpill'이 개발되었다.
- 안드로이드의 대부분 비밀번호 관리자가 취약하며, 자바스크립트 주입이 없어도 발생할 수 있다.
- 연구자들은 안드로이드 10, 11, 12에서 여러 비밀번호 관리자를 대상으로 AutoSpill을 테스트하였다.
- 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048, Keepass2Android 1.09c-r0 등이 안드로이드의 자동입력 프레임워크를 사용하기 때문에 공격에 취약하다는 결과를 얻었다.
- Google Smart Lock 13.30.8.26과 DashLane 6.2221.3는 자바스크립트 주입이 사용되지 않는 한 호스트 앱에 민감한 데이터를 유출하지 않는 다른 기술적 접근법을 따랐다.

Reference

https://www.bleepingcomputer.com/news/security/autospill-attack-steals-credentials-from-android-password-managers/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*