Менеджери паролів на Android можуть розкривати облікові дані користувача

Популярні мобільні менеджери паролів для Android можуть видавати облікові дані користувача через вразливість у функції автозаповнення, повідомляє TechCrunch.

Про це йдеться у дослідженні університету IIIT Hyderabad. За їхньою інформацією, уразливість під назвою AutoSpill може відкрити збережені облікові дані користувачів із мобільних менеджерів паролів, обходячи безпечний механізм автозаповнення Android.

Коли програма для Android завантажує сторінку входу в WebView, менеджери паролів можуть сплутати, куди саме треба вставити інформацію для входу користувача, і надати облікові дані базовій програмі. 

Причина — WebView, передвстановлений механізм від Google, дозволяє розробникам відображати вебвміст у програмі, не запускаючи веббраузер, щоб згенерувати запит автозаповнення.

Як працює вразливість AutoSpill у менеджерах паролів під Android

Менеджер паролів в ідеалі має автоматично заповнити лише сторінку Google або Facebook, яка була завантажена. Проте дослідники виявили, що операція автозаповнення може випадково відкрити облікові дані для базової програми.

Підписуйтеся на наші соцмережі

Наслідки такої вразливості, особливо якщо базова програма є зловмисною, можуть бути невиправними. Навіть без фішингу будь-який шкідливий застосунок, який просить вас увійти через інший сайт, наприклад Google або Facebook, може автоматично отримати доступ до конфіденційної інформації.

Які менеджери паролів можуть бути вразливими

Дослідники протестували декілька менеджерів паролів на нових і оновлених пристроях Android. AutoSpill спрацював на:

Вони виявили, що більшість застосунків були вразливі до витоку облікових даних, навіть якщо впровадження JavaScript вимкнено. А з увімкненим JavaScript взагалі усі менеджери паролів були чутливими до вразливості AutoSpill.

Як на вразливість відреагували розробники менеджерів паролів

Головний технічний директор 1Password Педро Канахуаті заявив, що компанія вже працює над виправленням проблеми AutoSpill. 

Головний технічний директор Keeper Крейг Люрі також знає про потенційну вразливість, але не зазначив, чи будуть виправлення. 

У Keeper вважають, що це «запобіжні заходи, щоб захистити користувачів від автоматичного заповнення облікових даних у ненадійній програмі або на сайті, який не був явно авторизований користувачем», та рекомендують звернутись до Google, «оскільки він стосується конкретно платформи Android».

Менеджер паролів LastPass вже додав до продукту випливне попередження, коли програма виявляє спробу використати експлойт, заявив Алекс Кокс, представник LastPass. 

Google і Enpass поки що не відреагували. 

Команда дослідників наразі вивчає, чи можна відтворити вразливість на iOS.