Luka AutoSpill w menedżerach haseł Android ujawnia dane logowania

Na konferencji bezpieczeństwa Black Hat Europe 2023 konferencji poświęconej bezpieczeństwu, badacze z indyjskiego Institute of Information Technology zaprezentowali nową lukę w zabezpieczeniach o nazwie "AutoSpill". Ze względu na lukę w module Android WebView, który jest oparty na przeglądarce Chrome i służy do wprowadzania haseł w aplikacjach, złośliwe aplikacje mogą teoretycznie uzyskać niezauważony dostęp do danych z menedżera haseł.

Jeśli menedżer haseł automatycznie wprowadza dane dostępu za pomocą autouzupełniania, dane logowania mogą zostać wstawione do pól danych aplikacji bazowej w WebView zamiast na stronie internetowej. W takim przypadku sama aplikacja może po prostu odczytać dane logowania, które w rzeczywistości powinny być po prostu wstawione do strony logowania w WebView.

Oznacza to, że phishing nie jest tutaj konieczny, tj. wyświetlanie fałszywej strony internetowej z polami nazwy użytkownika i hasła, ale raczej wyświetlana jest prawdziwa strona logowania do usługi internetowej. Luka w zabezpieczeniach została przetestowana z menedżerami haseł przy użyciu Android własnego Google Smart Lock, a także aplikacji innych firm 1Password, Dashlane, Enpass, LastPass, Keepass2Android i Keeper.

Według badaczy z , luka "AutoSpill" występuje w Android w wersjach 10, 11 i 12 i może zostać wykorzystana nawet przy wyłączonym JavaScript we wszystkich menedżerach haseł (z wyjątkiem Google Smart Lock i Dashlane). Jeśli JavaScript jest włączony, luka w zabezpieczeniach dotyczy wszystkich wyżej wymienionych menedżerów haseł.