5/5 - (2 votes)

L’attaque AutoSpill vole les mots de passe du système Google Android.

L’attaque AutoSpill vole les informations d’identification des gestionnaires de mots de passe Android. Les chercheurs en sécurité ont développé une nouvelle attaque, qu’ils ont baptisée AutoSpill, pour voler les informations d’identification du compte sur Android lors de l’opération de remplissage automatique. Dans une présentation lors de la conférence sur la sécurité Black Hat Europe , des chercheurs de l’Institut international des technologies de l’information (IIIT) à Hyderabad ont déclaré que leurs tests ont montré que la plupart des gestionnaires de mots de passe pour Android sont vulnérables à AutoSpill, même s’il n’y a pas d’injection JavaScript.

Pour comprendre, il faut savoir que la plupart des applications Android utilise WebView pour afficher du contenu Web. Par exemple, cela permet de voir la page de connexion à un service directement dans l’appli, plutôt que d’être redirigé dans le navigateur. Les gestionnaires de mots de passe Android se servent aussi de WebView pour remplir automatiquement les identifiants. C’est là qu’il y a une faille, et elle peut être exploitée même sans que le pirate n’injecte du code JavaScript pour exécuter certaines commandes.

Android System WebView est un composant système préinstallé Google qui permet aux applis Android d’afficher des contenus Web. Pour les utilisateurs qui partagent des statistiques d’utilisation et des diagnostics avec Google , WebViewenvoie des statistiques d’utilisation et des rapports d’erreur à Google. Les statistiques d’utilisation contiennent des informations telles que les informations système, les essais sur le terrain actifs, l’utilisation des fonctionnalités, la réactivité, les performances et l’utilisation de la mémoire. Ils n’incluent aucun détail d’identification personnelle.


Un mot de passe est un mot ou une série de caractères utilisés comme moyen d'authentification pour prouver son identité lorsque l'on désire accéder à un lieu protégé, à un compte informatique, un ordinateur, un logiciel ou à un service dont l'accès est limité et protégé. Le mot de passe doit être tenu secret pour éviter qu'un tiers non autorisé puisse accéder à la ressource ou au service. C'est une méthode parmi d'autres pour vérifier qu'une personne correspond bien à l'identité déclarée. Il s'agit d'une preuve que l'on possède et que l'on communique au service chargé d'autoriser l'accès. Selon la CNIL, Pour constituer un mot de passe fort, il faut douze caractères ou plus et que votre phrase contienne au moins un nombre, une majuscule, un signe de ponctuation ou un caractère spécial (dollar, dièse, ...) et une douzaine de mots. L'authentification multifacteur (MFA) est plus sûr que le mot de passe


Android est un système d'exploitation mobile basé sur le noyau Linux et développé actuellement par Google. Lancé en juin 2007 à la suite du rachat par Google en 2005 de la startup du même nom, le système avait d'abord été conçu pour les smartphones et tablettes tactiles, puis s'est diversifié dans les objets connectés et ordinateurs comme les télévisions (Android TV), les voitures (Android Auto), les ordinateurs (Android-x86) et les smartwatch (Android Wear). Les attaquants recherchent les failles de sécurité Zero Day sur le système Android. L'objectif étant de pouvoir interagir avec le noyau Android pour insérer un exploit et exécuter du code arbitraire à distance.


Javascript est un langage de programmation de scripts principalement employé dans les pages web interactives et à ce titre est une partie essentielle des applications web. Avec les technologies HTML et CSS, JavaScript est parfois considéré comme l'une des technologies cœur du World Wide Web. 


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut