Indiase onderzoekers hebben ontdekt dat Android-wachtwoordmanagers inloggegevens niet goed afschermen als gebruik wordt gemaakt van de autofill-functie. Volgens de onderzoekers ligt een framework binnen Android aan de basis van het probleem.
De kwetsbaarheid kreeg de naam AutoSpill mee en werd uit de doeken gedaan op Black Hat Europe. Daar toonden de onderzoekers aan dat als een Android-gebruiker zich wil aanmelden via een app, die ook de optie kan krijgen om dat te doen via een webpagina van de in-app-browser.
Wachtwoordmanagers kunnen op die pagina inloggegevens invullen via de autofill-functie, maar zouden daarbij volgens de onderzoekers ook de inloggegevens delen met de onderliggende app, en niet uitsluitend met de webpagina met invoervelden die via de autofill-functie ingevuld kunnen worden. Malafide app-makers zouden hierdoor de inloggegevens van gebruikers kunnen buitmaken.
Volgens de onderzoekers ligt een framework binnen Android aan de basis van het probleem. De kwetsbaarheid zou vervat zitten in versie 10, 11 en 12 van het Android-besturingssysteem en in wachtwoordmanagers 1Password, LastPass, Keeper, Enpass, en Keepass2Android. De bedrijven achter deze wachtwoordmanagers zouden op de hoogte zijn van de kwetsbaarheid.
Source: Tweakers.net