Black Hat EU 2023
Black Hat EU 2023の「AutoSpill」レポートについて
Last updated
Black Hat EU 2023の「AutoSpill」レポートについて
Last updated
Black Hat EU 2023のプレゼンテーションで、モバイルパスワードマネージャーでの認証情報の盗難について説明がありました。影響を受けるアプリケーションとしてKeeperが挙げられていましたが、Keeper では、以下に説明するようにこの問題から保護するための安全対策を講じています。
2022年5月31日、Keeperは研究者から潜在的な脆弱性に関する報告を受けました。そのため、報告された問題を実証する動画を研究者に要求しました。分析の結果、研究者はまず悪意のあるアプリケーションをインストールし、その後、Keeperからのポップアップ指示を受け入れて、悪意のあるアプリケーションをKeeperパスワードレコードに強制的に関連付けたことが判明しました。
Keeperには、信頼できないアプリケーションやユーザーが許可していないサイトに認証情報を自動的に入力するのを防ぐための安全策が講じられています。Androidプラットフォームでは、Androidアプリケーションやウェブサイトに認証情報を自動入力しようとすると、Keeperからメッセージが表示されます。ユーザーは、情報を入力する前に、アプリケーションとKeeperパスワードレコードの関連付けを確認するよう求められます。6月29日、この情報を研究者に通知しするとともに、Androidプラットフォームに特に関連しているため、レポートをGoogleに提出するよう勧めました。
通常、悪意のあるAndroidアプリケーションは、まずGoogle Playストアに送信され、Googleによる審査を経て、Google Playストアへの公開が承認される必要があります。その後、ユーザーはGoogle Playから悪意のあるアプリケーションをインストールし、そのアプリケーションで取引を行う必要があります。あるいは、悪意のあるアプリケーションを公式ストア以外からロードするには、ユーザーがデバイスの重要なセキュリティ設定を上書きする必要があります。
Keeperでは、インストールするアプリケーションについては常に注意し、Google Playストアなどの信頼できるアプリストアに公開されているAndroidアプリケーションのみをインストールすることを推奨しています。
以下は、Keeperの保護機能のスクリーンショットとなります。ユーザーは、特定の認証情報を取得して入力するアプリケーションを信頼するように求められます。このセキュリティ機能は数年前から導入されており、追加の更新は必要ありません。
このAndroidアプリのデモは、以下のKeeperの公開Githubリポジトリでご覧いただけます。 https://github.com/Keeper-Security/android_webview_autofill
スマートフォンを安全に保つ方法については、以下のウェブページをご覧ください: https://www.keepersecurity.com/blog/2022/10/13/how-to-keep-your-smart-phone-safe-and-personal/
ご質問などございましたら、security@keepersecurity.comまでメールでお問い合わせください。