Das Online-Magazin Bleeping Computer meldet, dass unbefugte Dritte über eine Schwachstelle an sensible Login-Daten gelangen können. Die Schwachstelle wurde im Rahmen der Sicherheitskonferenz Black Hat Europe gezeigt und von den Forschern des International Institute of Information Technology (IIIT) Hyderabad als AutoSpill bezeichnet. Die meisten Passwortmanager für Android sind für AutoSpill anfällig. Dies gilt auch dann, wenn keine JavaScript-Injektion erfolgt.
AutoSpill funktioniert wie folgt
Android-Apps verwenden häufig WebView-Steuerelemente, um Webinhalte innerhalb der App darzustellen, wie zum Beispiel Anmeldeseiten, anstatt die Nutzer zum Webbrowser umzuleiten. Passwortmanager auf Android nutzen das WebView-Framework, um automatisch die Anmeldedaten eines Nutzerkontos einzugeben, wenn eine App die Anmeldeseite für Dienste wie Apple, Facebook, Microsoft oder Google lädt. Die Forscher erklärten, dass es möglich ist, Schwachstellen in diesem Prozess auszunutzen. Auf diese Weise können automatisch ausgefüllte Anmeldedaten in der aufrufenden App erfasst werden.
Laut den Forschern sind alle Passwortmanager auf Android für den AutoSpill-Angriff anfällig, wenn JavaScript-Injektionen aktiviert sind. Einige sind jedoch auch ohne Aktivierung anfällig. Das AutoSpill-Problem entsteht, weil Android nicht klar definiert, wer für den sicheren Umgang mit den automatisch ausgefüllten Daten verantwortlich ist. Dadurch können die Daten von der Host-App abgefangen werden.
Spurloser Angriff
In einem Angriffsszenario könnte eine böswillige Anwendung die Anmeldedaten des Benutzers sammeln, ohne zu zeigen, dass eine Kompromittierung vorliegt. Die Forscher haben AutoSpill mit einer Auswahl von Passwortmanagern auf Android 10, 11 und 12 getestet und herausgefunden, dass 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 und KeePass2Android 1.09c-r0 aufgrund der Verwendung des Autofill-Frameworks von Android anfällig für Angriffe sind.
Einen anderen technischen Ansatz für den Autofill-Prozess verfolgen Google Smart Lock 13.30.8.26 und DashLane 6.2221.3. Sie übermitteln keine sensiblen Daten an die Host-App, es sei denn, es wird JavaScript-Injection verwendet. Die Forscher haben ihre Ergebnisse bereits im Mai 2022 den betroffenen Softwareherstellern und dem Android-Sicherheitsteam mitgeteilt und Vorschläge zur Behebung des Problems unterbreitet. Obwohl keine Details zur Behebung bekannt gegeben wurden, sollen nun bessere Schutzmaßnahmen gegen die Einschleusung manipulierter Anmeldeseiten vorhanden sein.
