ClipCaster v1.0.60 APK (Dinheiro Ilimitado)

[Atualização: não tenho mais tempo para continuar melhorando este aplicativo. Obrigado a todos que experimentaram e melhoraram a conscientização sobre essa vulnerabilidade! Melhorias e correções são bem-vindas através do Github]

[segunda etapa da atualização do LastPass: automatizei a exploração para o Facebook, conforme descrito na postagem do meu blog. Se o LastPass mudar as coisas novamente, ele vai parar de funcionar e pode demorar alguns dias para voltar, mas esperamos que desta vez eles percebam quão ineficiente é isso e parem de expor seus usuários a esta vulnerabilidade. ]

[Atualização do LastPass: O ClipCaster não automatiza mais as credenciais de recuperação do LastPass. O preenchimento do LastPass ainda é vulnerável. Para uma explicação do porquê e como verificá-lo por conta própria (é necessário algum conhecimento de JavaScript), consulte o post do meu blog em https://blog.xbc.nz/2014/12/lastpass-attempt-at-client-side-android .html]

O ClipCaster é um aplicativo de prova de conceito de código aberto que mostra como qualquer aplicativo instalado pode ler senhas quando elas são usadas em aplicativos de gerenciamento de senhas.

Ele também pode ser usado como uma ferramenta para rastrear o estado de a área de transferência e para obter um despejo dos usos LastPass do JavaScript para o recurso Preenchimento do Chrome.

Artigo do Ars Technica: http://ars.to/1vwcmT0

Localiza as credenciais ao usar o 'preenchimento' do RoboForm recurso para o Chrome (versão Android pelo menos 4.3) e KeePassDroid.

NÃO armazenamos senhas nem as enviamos para lugar nenhum; este aplicativo não tem nem a permissão da Internet. O único local onde eles são usados ​​está na notificação quando são detectados.

Agora, na loja de aplicativos de código aberto, F-Droid: https://f-droid.org/repository/browse/?fdfilter=clipcaster&fdid=com .actisec.clipcaster

===
Escopo do ClipCaster
===

O ClipCaster detectará credenciais automaticamente quando usado a partir do RoboForm preenchendo campos no Chrome (graças a Robert para a dica) e copiando do KeePassDroid notificação.

O ClipCaster também possui um histórico da área de transferência, coletado enquanto o aplicativo é ligado. Basta clicar no ícone "histórico" no aplicativo principal. Com isso, você pode ver o que qualquer aplicativo está fazendo com a área de transferência.

No caso do LastPass, ele também ajuda na reprodução manual da vulnerabilidade, fornecendo o dump do JavaScript e a hora em que foi gerada. Veja https://blog.xbc.nz/2014/12/lastpass-attempt-at-client-side-android.html para um exemplo

===
Escopo da vulnerabilidade
=== < p> Para todos os gerenciadores de senha: se for necessário que você cole suas credenciais, é vulnerável. Se o gerente tiver um navegador ou teclado interno, o uso desse recurso quase certamente evitará a vulnerabilidade. Se o gerente não, digite as senhas manualmente para evitar a vulnerabilidade

Para o LastPass: Mesmo que não o mencione, o recurso "preencher" (aquele que aparece com opções de credenciais, como nas capturas de tela ) usa a área de transferência e por isso é vulnerável. As alternativas são: o teclado LastPass (ou método de entrada como eles chamam), o navegador embutido, ou usando um navegador móvel com uma extensão LastPass específica do navegador como o Dolphin.

Se você não tem certeza se uma senha recurso do gerente é vulnerável, pergunte aos desenvolvedores do gerenciador de senhas. Como alternativa, envie um e-mail para [email protected] e tentaremos dar uma olhada.

===
Permissões
===

Não são necessárias permissões

===
Fonte e Reconhecimentos
===

https://github.com/activems/clipcaster

Este projeto é uma implementação independente do conceito em "Ei, você, saia da minha área de transferência - em como usabilidade Trunfos de segurança em gerenciadores de senhas do Android "(http://fc13.ifca.ai/proc/4-2.pdf).

Um agradecimento especial a Arturo Blas-Jiménez, Daniel Resnick e Andrew Wilson pelos testes e Valerio Bozzolan para a localização em italiano.

Se algum bugs for encontrado, por favor coloque uma descrição deles mais sua versão do Android na página de questões do repositório do GitHub (https://github.com/activems/clipcaster/issues) ou e-mail [email protected]