Chybu nazvanou AutoSpill objevili univerzitní výzkumníci a prezentovali ji na konferenci Black Hat Europe. Jejím zneužitím lze odhalit uložené přihlašovací údaje v aplikacích pro správu hesel. Dojde k tomu obcházením bezpečného mechanizmu automatického vyplňování.
Chyba je zneužitelná v okamžiku, když se správci hesel pokoušejí prostřednictvím automatického vyplňování zadat přístupové údaje do některé z aplikací, například Google nebo Facebooku. Za určitých podmínek se přihlašovací data ocitnou ve vstupních polích aplikace WebView, což neoprávněným útočníkům umožní jejich přečtení.
Mohlo by vás zajímat
Google WebView je komponenta systému Android, která umožňuje aplikacím zobrazovat webový obsah přímo v aplikaci, aniž byste museli přecházet do prohlížeče. Vývojáři mohou použít tuto komponentu namísto vlastního prohlížeče, což šetří čas a paměťové nároky.
WebView je také důležitá pro správné fungování mnoha aplikací, které potřebují přístup k informacím na webu.
Bezpečnostní díra Androidu: dotčeny jsou známé aplikace správců hesel
Zranitelnost byla testována na systémech Android 10, 11 a 12. Dotčeny jsou známé aplikace správců hesel, například 1Password, Lastpass, Enpass, Keeper a Keepass2Android.
I bez podpory JavaScriptu byla většina zranitelná, s povoleným JavaScriptem útok fungoval na všech. Doporučujeme zvýšenou opatrnost, případně raději přejít na ruční zadávání. Tím by se mělo riziko vyzrazení přihlašovacích údajů minimalizovat.
Mohlo by vás zajímat
Výzkumníci o svém zjištění informovali Google i provozovatele jednotlivých aplikací pro správu hesel. Tým také zjišťuje, zda se dá objevená zranitelnost replikovat i v prostředí Apple iOS.
Pokud některého ze správců hesel používáte, sledujte, zda už k němu nemáte k dispozici nejnovější aktualizace. Pokud ano, doporučujeme neodkládat jejich instalaci. V nich už by jejich poskytovatelé mohli na nejnovější zjištění zareagovat a zranitelnost záplatovat.
Zdroj: TechCrunch, Black Hat Europe, The Cyber Express
