Кілька популярних мобільних менеджерів паролів ненавмисно розкривають облікові дані користувачів через вразливість у функції автозаповнення програм Android.

За словами дослідників з Міжнародного інституту інформаційних технологій у Гайдарабаді, які виявили вразливість і представили своє дослідження на Black Hat Europe цього тижня, атака AutoSpill може відкрити збережені облікові дані користувачів із мобільних менеджерів паролів, обходячи безпечний механізм автозаповнення Android.

Коли програма для Android завантажує сторінку входу в WebViewAndroid WebView – це попередньо встановлений системний компонент від Google, завдяки якому додатки для Android можуть показувати веб-контент., менеджери паролів можуть «дезорієнтуватися» щодо того, куди вони повинні націлити інформацію для входу, і натомість розкривати облікові дані у власних полях базового додатка. Це пояснюється тим, що WebView дозволяє розробникам відображати вебвміст у програмі, не запускаючи веббраузер, і генерує запит автозаповнення.

Дослідники кажуть, що вразливість несе «‎значні» наслідки:

Дослідники протестували атаку AutoSpill за допомогою деяких із найпопулярніших менеджерів паролів, включаючи 1Password, LastPass, Keeper і Enpass, на нових і оновлених пристроях Android, та виявили, що більшість програм були вразливі до витоку облікових даних, навіть якщо ін’єкцію JavaScriptJavaScript-ін'єкція – це спосіб вставлення коду на веб-сторінку для зміни значень певних атрибутів. було вимкнено.

Дослідники попередили про вразливість Google і розробників менеджерів паролів. В 1Password сказали, що працюють над виправленням проблеми, а в Keeper зазначили, що знають про потенційну вразливість, але не уточнили чи вносили виправлення.

Google й Enpass поки не надали коментарів. Алекс Кокс, директор групи аналізу загроз, пом’якшення та ескалації LastPass, сказав, що вони ще до висновків дослідників додали спливаюче вікно з попередженням про загрозу.

Джерело: Bleeping Computer, TechCrunch