În cadrul conferinței de securitate Black Hat Europe, cercetătorii de la International Institute of Information Technology (IIIT) din Hyderabad au dezvăluit că majoritatea managerelor de parole pentru Android sunt vulnerabile la atacul AutoSpill, chiar și în absența unei injecții de JavaScript.
Aplicațiile Android folosesc adesea controale WebView pentru a reda conținut web, cum ar fi paginile de autentificare în cadrul aplicației, în loc să redirecționeze utilizatorii către browserul principal, o experiență mai puțin comodă pe dispozitivele cu ecran mic.
Managerii de parole pe Android utilizează cadrul WebView al platformei pentru a tasta automat credențialele utilizatorului atunci când o aplicație încarcă pagina de autentificare a serviciilor precum Apple, Facebook, Microsoft sau Google. Cercetătorii au explicat că este posibil să se exploateze slăbiciunile acestui proces pentru a captura credențialele completate automat în aplicația care le invocă, chiar și fără injecție de JavaScript.
Dacă injecțiile de JavaScript sunt activate, toate managerele de parole de pe Android sunt vulnerabile la atacul AutoSpill. Problema AutoSpill derivă din incapacitatea Androidului de a impune sau de a defini clar responsabilitatea pentru manipularea sigură a datelor completate automat, ceea ce poate duce la scurgerea sau capturarea acestora de către aplicația gazdă.
Android are o Problema foarte Grava, ce Amenintare Exista pentru Telefoane
Într-un scenariu de atac, o aplicație răuvoitoare care prezintă un formular de autentificare ar putea captura credențialele utilizatorului fără a lăsa vreo urmă a compromiterii. Detalii tehnice suplimentare despre atacul AutoSpill sunt disponibile în prezentarea cercetătorilor de la Black Hat Europe.
Mai multe detalii despre atacul AutoSpill pot fi găsite în acest document, care conține slide-urile din prezentarea BlackHat. Cercetătorii au testat AutoSpill împotriva unei selecții de managere de parole pe Android 10, 11 și 12 și au descoperit că 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 și Keepass2Android 1.09c-r0 sunt susceptibile la atacuri din cauza utilizării cadrului de completare automată al Androidului.
Google Smart Lock 13.30.8.26 și DashLane 6.2221.3 au urmat o abordare tehnică diferită pentru procesul de completare automată. Acestea nu au scurs date sensibile către aplicația gazdă decât în cazul utilizării injecției de JavaScript.
Cercetătorii și-au divulgat descoperirile către furnizorii de software afectați și echipa de securitate a Androidului, împărtășind propunerile lor pentru abordarea problemei. Raportul lor a fost recunoscut ca fiind valid, dar nu au fost împărtășite detalii despre planurile de remediere.