Passer au contenu

Les applis Android de LastPass et 1Password sont vulnérables au phishing

Une appli mobile malveillante peut facilement usurper l’identité d’une autre et récupérer des mots de passe grâce à la fonction de remplissage automatique.

Des chercheurs en sécurité de l’université de York ont découvert qu’il était possible d’extirper des mots de passe depuis les applications Android de LastPass et 1Password. En effet, ces gestionnaires de mots de passe disposent d’une fonctionnalité de remplissage automatique qui fonctionne non seulement avec des sites web, mais aussi avec des applis mobiles. Si, par exemple, on ouvre une application Google, ils proposeront l’insertion des identifiants correspondants. Ce qui est bien pratique.

Malheureusement, cette fonctionnalité ne s’appuie que sur le nom du package logiciel, ce qui crée un risque d’usurpation. Un pirate peut très facilement créer une appli malveillante avec le même nom et la diffuser par des campagnes de phishing. Si un utilisateur l’installe, il risque donc de faire fuiter ses mots de passe. LastPass et 1Password ne comptent pas corriger cette faille, estimant qu’elle relève davantage du comportement de l’utilisateur.

Source : Université de York

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn