На конференции по кибербезопасности Black Hat Europe была представлена новая атака под названием “AutoSpill”. Индийские исследователи из Международного института информационных технологий в Хайдарабаде обнаружили, что большинство менеджеров паролей для Android уязвимы для этой атаки, даже без внедрения JavaScript. А с внедрением JavaScript уязвимыми становятся абсолютно все менеджеры паролей для зелёной операционной системы.
AutoSpill использует уязвимость в процессе автозаполнения учётных данных в приложениях Android, где часто применяется компонент WebView для отображения веб-страниц. Менеджеры паролей, используя WebView, автоматически вводят данные пользователя на веб-страницах входа в систему. Учёные выявили, что во время этого процесса автозаполненные учётные данные возможно перехватить.
Тесты, проведённые на Android 10, 11 и 12, показали, что такие менеджеры паролей, как 1Password, LastPass, Enpass, Keeper и Keepass2Android, оказались больше всего подвержены данной атаке. В то время как Google Smart Lock и DashLane оказались менее уязвимыми, если, конечно, не использовать JavaScript-инъекции.
Представители вышеобозначенных продуктов, а также команда безопасности Android были уведомлены об уязвимости. Команда 1Password сообщила, что над исправлением AutoSpill уже ведётся работа. В LastPass утверждают, что специалисты уже реализовали смягчающие атаку механизмы, такие как всплывающие предупреждения при попытке злонамеренной эксплуатации. В Keeper Security подчеркнули важность качественной модерации приложений в Google Play, так как для успешной эксплуатации уязвимости, нужно сначала установить на устройство вредоносное ПО.
Представитель Google подчеркнул: “Android предоставляет менеджерам паролей необходимый контекст, чтобы различать собственные представления и WebView, а также определять, не связан ли загружаемый WebView с хост-приложением” и порекомендовал разработчикам подобных проектов быть внимательными к тому, где конкретно вводятся пароли.
Выявление данной уязвимости подчёркивает важность осознанного использования функций автозаполнения и необходимость принятия мер разработчиками программного обеспечения по улучшению защиты данных. Пользователям, в свою очередь, следует проявлять бдительность, даже при установке приложений через Google Play