Mise à jour Android : La nouvelle fonctionnalité auto-remplir pourrait-elle avoir un impact sur la sécurité des utilisateurs ?

Andreas Gutmann, septembre 17, 2019
Android Update: Could New Auto-fill Functionality Impact Users' Security?

Google prépare de nouvelles fonctionnalités pour Android qui permettront aux applications de récupérer et de remplir automatiquement les codes de sécurité à partir de SMS. L'année dernière, Apple a introduit une fonctionnalité similaire à iOS et macOS, pour laquelle nous avons découvert des risques de sécurité pour les services bancaires en ligne, l'authentification à deux facteurs (2FA), et d'autres services. Dans ce post, nous analysons ce que nous savons à ce jour sur la version de Google.

La dernière version bêta des développeurs de Google Play Services (18.7.13 bêta) contient des fragments de code qui montrent une nouvelle autorisation Android pour récupérer automatiquement les codes de vérification des messages texte. Cette fonctionnalité n'a pas encore été entièrement implémentée, mais le code disponible permet une analyse et une évaluation précoce des risques de sécurité possibles. Nous avons donc effectué une analyse préliminaire pour identifier les risques similaires comme nous l'avons démontré en 2018 pour la fonction AutoFill du code de sécurité dans iOS et macOS.

Arrière-plan

Il semble que Google prépare une mise à jour de la "Cadre de remplissage automatique", introduit avec Android 8.0 en 2017, pour inclure la nouvelle fonctionnalité. Auparavant, le seul but de ce cadre était de prendre en charge la fonctionnalité de remplissage automatique des gestionnaires de mots de passe dans les applications et les sites Web Android. Les fragments de code de cette nouvelle fonctionnalité révèlent les noms et descriptions du paramètre système associé et les demandes d'autorisation d'exécution correspondantes, indiquées ci-dessous.

Code SMS Remplissage automatique
L’interface utilisateur probable du nouveau paramètre dans Android pour activer / désactiver SMS Code Auto-remplir (source: xda-developers.com).
L'interface utilisateur probable de la nouvelle demande d'autorisation d'exécution dans Android (pour refuser ou permettre l'accès d'une application à la fonction SMS Code Auto-fill).

Le cadre de remplissage automatique d'Android pour les mots de passe permet aux applications et aux sites Web de déclarer eux-mêmes si et où ils veulent activer la fonction de remplissage automatique de mot de passe, par exemple en utilisant Android:autofillHints "mot de passe" et android:importantForAutofill "oui". L'image ci-dessous montre l'interface uI d'Android suggestions de remplissage automatique pour les mots de passe. Nous pouvons supposer que les suggestions de remplissage automatique pour les codes de sécurité SMS se ressembleront.

Échantillon de remplissage automatique
Interface utilisateur actuelle du cadre de remplissage automatique d'Android, affichant les informations d'identification disponibles de connexion utilisateur. Si l’utilisateur tape sur "dataset-2", ce nom d’utilisateur et le mot de passe correspondant seront insérés dans l’application ou le site Web (source: Android Open Source Project).

Le risque de remplir auto les codes de sécurité

SMS Code Auto-fill apparaît lié au cadre de remplissage automatique d'Android, qui permet aux applications et aux sites Web de déterminer si et où faire des suggestions de remplissage automatique. Nous ne connaissons actuellement pas tous les détails du prochain code SMS Auto-remplir dans Android et ne peut recréer un flux de travail basé sur les extraits de code disponibles et l'implémentation actuelle de mot de passe autofill.

Cependant, il n'en est encore qu'à ses débuts et, comme dans tout cycle de développement, beaucoup de choses peuvent changer. Dans le même ordre d'attente, nous avons fait une recommandation à nos contacts chez Google, afin d'éviter que les utilisateurs d'Android ne soient exposés à des risques de sécurité similaires à ceux que nous avons découverts précédemment pour la fonction AutoFill security Code dans iOS et macOS. Nous recommandons de ne pas donner aux applications et aux sites Web le contrôle sur l'opportunité de suggérer à leurs utilisateurs que les codes de sécurité soient remplis automatiquement dans un champ de formulaire particulier. Il y a deux raisons à cela :

  1. Tout d'abord, considérez un attaquant manipulant Android en suggérant de remplir automatiquement un code de sécurité sur une page Web différente de celle où le code est prévu. Un tel vecteur d'attaque pourrait être utilisé pour l'hameçonnage des codes de sécurité 2FA. Ces codes sont couramment utilisés pour sécuriser les comptes en ligne, y compris le courrier électronique et les services bancaires.
  2. Deuxièmement, envisagez un scénario d'autorisation de transaction. Dans un tel scénario, le SMS envoyé à l'utilisateur contient des informations contextuelles (comme le montant transféré dans un paiement en ligne), que l'utilisateur est censé vérifier avant de citer le code de sécurité. Si la suggestion de remplissage automatique supprime cette information contextuelle saillante lors de la présentation du code, l'utilisateur est effectivement encouragé à remplir automatiquement le code sans d'abord vérifier la justesse de ces informations de contexte. Une telle « cécité du code » pourrait faciliter les attaques de l'homme dans le milieu et de l'homme dans le navigateur.

L'insertion automatique de codes de sécurité à partir de SMS dans le champ de formulaire de destination prévu serait une amélioration significative de la convivialité. Les utilisateurs seraient soulagés de changer d'application pour accéder aux codes de sécurité dans leur application SMS, la copier ou la mémoriser, puis revenir à l'application de destination ou à la page Web prévue et de citer le code de sécurité. Toutefois, pour que le remplissage automatique soit sécurisé, l'insertion doit être effectuée dans l'application ou la page Web prévue, et le destinataire doit avoir la possibilité de lire et de vérifier les informations de contexte saillantes à l'avance.
Nous sommes impatients de suivre les développements de Google et le résultat final.   

Apprenez à lutter contre la fraude en faisant des économies et en préservant les revenus grâce à App Shielding

Apprenez à lutter contre la fraude en faisant des économies et en préservant les revenus grâce à App Shielding

Si vous êtes convaincu(e) de la nécessité d'améliorer la sécurité sur appareil mobile, découvrez pourquoi App Shielding et la technologie RASP sont particulièrement utiles face aux menaces qui planent actuellement sur l'environnement mobile.
 

Télécharger le livre blanc

Cet article, initialement publié le 6 août 2019, est paru pour la première fois sur Bentham’s Gaze.

 

Andreas est chercheur au Centre d'innovation de Cambridge de OneSpan, travaillant à l'intersection de la FinTech avec la facilité d'utilisation, la sécurité et la vie privée. Il est membre de la Commission européenne pour les actions de Marie Skoodowska-Curie et poursuit actuellement un doctorat à l