Najnowsza odsłona systemu Android, nazwana przez Google „Oreo”, wprowadziła wiele nowych funkcji i udogodnień, które cieszą sporą ilość użytkowników. Jedną z nowości jest API (skrót od „interfejs programistyczny aplikacji”). Zarządza on autouzupełnianiem formularzy. Jest to bardzo wygodne rozwiązanie, dzięki któremu oszczędzić można naprawdę sporo czasu na ręcznym uzupełnianiu wszystkich wymaganych do logowania bądź rejestracji pól. Niestety okazuje się, że nie jest to funkcja idealna – przez niewielki błąd, który pojawił się w Androidzie Oreo, dane użytkowników (takie jak loginy, hasła, adresy i numery kart kredytowych) mogą zostać z łatwością pozyskane przez złośliwe aplikacje. O co dokładnie chodzi i jak się przed tym chronić? O tym przeczytacie w dalszej części tego artykułu.
Jak działa autouzupełnianie haseł?
Problem ten spowodowany jest nowym sposobem działania funkcji autouzupełniania formularzy w systemie Android Oreo. W przeszłości hasła i inne dane zapamiętywane były przez przeglądarkę lub aplikację służącą do zarządzania hasłami, której należało nadać odpowiednie uprawnienia dostępności, by mogła ona pełnić swoją funkcję. W najnowszej aktualizacji systemu Google’a sporo się jednak zmieniło – od teraz system Android jest swoistym pośrednikiem pomiędzy aplikacjami, które zajmują się uzupełnianiem haseł, a programami, które wymagają uzupełnienia pewnych pól. Oznacza to, że system zbiera pewne informacje na temat aplikacji, która prosi o udostępnienie danych użytkownika, a następnie taką paczkę przesyła do menadżera haseł. Jeśli wszystkie pozyskane informacje się zgadzają, to program odpowiadający za zarządzanie hasłami przesyła dane, które wymagane są do uzupełnienia pól.
Na czym polega wykryty błąd?
Okazuje się jednak, że dane użytkowników nie są do końca bezpieczne, ponieważ mogą zostać bezproblemowo pozyskane przez twórców złośliwych aplikacji. Jest to możliwe dzięki wykorzystaniu niewidocznego dla użytkownika okna, które prosi o udostępnienie wybranych informacji. Właściciel smartfona nie musi zgadzać się na taką operację, ponieważ widżet, odpowiedzialny za pobieranie danych nie jest dla niego widoczny! Jest to naprawdę groźny błąd, który doprowadzić może do kradzieży haseł, adresów e-mail lub nawet danych kart płatniczych! To, jak wygląda testowy program do kradzieży danych, możecie zobaczyć na zrzutach ekranu poniżej.
Jak zabezpieczyć się przed kradzieżą danych?
Google jak na razie nie wydało oficjalnego oświadczenia w sprawie tego świeżo odkrytego błędu, więc użytkownicy Androida Oreo o swoje bezpieczeństwo powinni zadbać na własną rękę. Przede wszystkim, warto sprawdzić, czy aplikacja, z której korzystacie, odpowiednio zabezpiecza Wasze dane – pełne informacje na ten temat można znaleźć na tej stronie. Jednym z najważniejszych zabezpieczeń jest dzielenie udostępnianych informacji na małe paczki, przez co program, który prosi o dostęp do hasła, nie otrzyma również numeru karty kredytowej. Redaktorzy portalu XDA-Developers skontaktowali się w tej sprawie z twórcami najpopularniejszych aplikacji służących do autouzupełniania danych i okazuje się, że programy Enpass, LastPass i 1Password są bezpieczne. Warto również pamiętać o tym, że API odpowiedzialne za uzupełnianie informacji o użytkowniku można w prosty sposób wyłączyć w aplikacji Ustawienia.
Źródło: XDA-Developers