ClipCaster v1.0.60 APK (Dinero Ilimitado)

[Actualización: ya no tengo tiempo para seguir mejorando esta aplicación. ¡Gracias a todos los que lo probaron y mejoraron el conocimiento de esta vulnerabilidad! Las mejoras y las correcciones son bienvenidas a través de Github]

[Actualización LastPass ronda 2: automaticé el exploit para Facebook, como se describe en mi blog. Si LastPass vuelve a cambiar las cosas, dejará de funcionar y puede tardar algunos días en volver a activarse, pero es de esperar que esta vez se den cuenta de lo ineficaz que es esto y dejen de exponer a sus usuarios a esta vulnerabilidad. ]

[Actualización de LastPass: ClipCaster ya no automatiza las credenciales de LastPass de recuperación. Sin embargo, el relleno de LastPass todavía es vulnerable. Para obtener una explicación de por qué y cómo verificarlo usted mismo (se requiere algo de conocimiento de JavaScript), consulte la publicación de mi blog en https://blog.xbc.nz/2014/12/lastpass-attempt-at-client-side-android .html]

ClipCaster es una aplicación de prueba de concepto de código abierto que muestra cómo cualquier aplicación instalada puede leer contraseñas cuando se usan desde aplicaciones de administración de contraseñas.

También se puede usar como una herramienta para rastrear el estado de el portapapeles, y para obtener un volcado de los usos de LastPass de JavaScript para su función de relleno de Chrome.

Artículo de Ars Technica: http://ars.to/1vwcmT0

Encuentra las credenciales cuando se utiliza el 'relleno' de RoboForm característica para Chrome (versión de Android al menos 4.3) y KeePassDroid.

NO almacenamos las contraseñas ni las enviamos a ninguna parte; Esta aplicación ni siquiera tiene el permiso de Internet. El único lugar en el que se usan es en la notificación cuando son detectados.

Ahora en la tienda de aplicaciones de código abierto, F-Droid: https://f-droid.org/repository/browse/?fdfilter=clipcaster&fdid=com .actisec.clipcaster

===
Scope of ClipCaster
===

ClipCaster detectará automáticamente las credenciales cuando se use desde RoboForm para completar los campos en Chrome (gracias a Robert por el aviso) y la copia de KeePassDroid notificación.

ClipCaster también tiene un historial del portapapeles, recopilado mientras la aplicación está activada. Simplemente presiona el ícono 'historial' en la aplicación principal. Con esto, puede ver lo que está haciendo cualquier aplicación con el portapapeles.

En el caso de LastPass, también ayudará a la reproducción manual de la vulnerabilidad al proporcionar el volcado de JavaScript y el momento en que se generó. Consulte https://blog.xbc.nz/2014/12/lastpass-attempt-at-client-side-android.html para ver un ejemplo

===
Ámbito de vulnerabilidad
=== < p> Para todos los administradores de contraseñas: si requiere que pegue sus credenciales, es vulnerable. Si el administrador tiene un navegador o teclado incorporado, el uso de esa función casi definitivamente evitará la vulnerabilidad. Si el administrador no lo hace, escriba las contraseñas manualmente para evitar la vulnerabilidad

Para LastPass: Aunque no lo menciona, la función 'completar' (la que aparece con opciones de credenciales, como en las capturas de pantalla ) utiliza el portapapeles y por lo tanto es vulnerable. Las alternativas son: el teclado LastPass (o el método de entrada como lo llaman), el navegador integrado o el uso de un navegador móvil con una extensión LastPass específica del navegador, como Dolphin.

Si no está seguro de si una contraseña La característica del administrador es vulnerable, pregunte a los desarrolladores del administrador de contraseñas. Alternativamente, envíe un correo electrónico a [email protected] e intentaremos verificarlo.

===
Permisos
===

No se requieren permisos

===
Fuente y Agradecimientos
===

https://github.com/activems/clipcaster

Este proyecto es una implementación independiente del concepto en "Hey, You, Bájate de Mi Portapapeles - Sobre cómo Uso Trumps Security in Android Password Managers "(http://fc13.ifca.ai/proc/4-2.pdf).

Un agradecimiento especial a Arturo Blas-Jiménez, Daniel Resnick y Andrew Wilson por las pruebas ya Valerio Bozzolan para la localización italiana.

Si se encuentran errores, ponga una descripción de ellos y su versión de Android en la página de problemas del repositorio de GitHub (https://github.com/activems/clipcaster/issues) o correo electrónico [email protected]