AutoSpill kwetsbaarheid van Android wachtwoordmanagers stelt inloggegevens bloot

Op de Black Hat Europe 2023 beveiligingsconferentie hebben onderzoekers van het Indiase Institute of Information Technology een nieuwe kwetsbaarheid genaamd 'AutoSpill' gepresenteerd. Door een gat in de Android WebView-module, die gebaseerd is op de Chrome-browser en gebruikt wordt om wachtwoorden in apps in te voeren, kunnen kwaadwillende apps theoretisch ongemerkt toegang krijgen tot gegevens van de wachtwoordmanager.

Als een wachtwoordmanager de toegangsgegevens automatisch invoert met behulp van autofill, kunnen de aanmeldingsgegevens worden ingevoegd in gegevensvelden van de onderliggende app in WebView in plaats van op de website. In dit geval kan de app zelf gewoon de inloggegevens lezen, die eigenlijk gewoon in de inlogpagina in WebView moeten worden ingevoegd.

Dit betekent dat phishing hier niet nodig is, d.w.z. het weergeven van een nepwebsite met gebruikersnaam- en wachtwoordvelden, maar dat de echte aanmeldpagina van een internetservice wordt weergegeven. Het beveiligingslek is getest met wachtwoordmanagers via Android's eigen Google Smart Lock en de apps van derden 1Password, Dashlane, Enpass, LastPass, Keepass2Android en Keeper.

Volgens de onderzoekers van , komt de 'AutoSpill'-kwetsbaarheid voor in Android versies 10, 11 en 12 en kan zelfs worden misbruikt als JavaScript is uitgeschakeld in alle wachtwoordmanagers (met uitzondering van Google Smart Lock en Dashlane). Als JavaScript is geactiveerd, zijn alle bovengenoemde wachtwoordmanagers getroffen door het beveiligingslek.