A vulnerabilidade AutoSpill dos gerenciadores de senhas Android expõe dados de login

Na conferência de segurança Black Hat Europe 2023 conferência de segurança, pesquisadores do Instituto Indiano de Tecnologia da Informação https://www.iiit.ac.in/ apresentaram uma nova vulnerabilidade chamada "AutoSpill". Devido a uma falha no módulo Android WebView, que é baseado no navegador Chrome e usado para inserir senhas em aplicativos, aplicativos mal-intencionados podem teoricamente acessar dados do gerenciador de senhas sem serem notados.

Se um gerenciador de senhas inserir automaticamente os dados de acesso usando o preenchimento automático, os dados de login poderão ser inseridos nos campos de dados do aplicativo subjacente no WebView em vez de no site. Nesse caso, o próprio aplicativo pode simplesmente ler os dados de login, que, na verdade, devem ser inseridos apenas na página de login no WebView.

Isso significa que o phishing não é necessário aqui, ou seja, a exibição de um site falso com campos de nome de usuário e senha, mas sim a exibição da página de login real de um serviço de Internet. A vulnerabilidade de segurança foi testada com gerenciadores de senhas usando o próprio Google Smart Lock do Android, bem como os aplicativos de terceiros 1Password, Dashlane, Enpass, LastPass, Keepass2Android e Keeper.

De acordo com os pesquisadores do , a vulnerabilidade 'AutoSpill' ocorre nas versões 10, 11 e 12 do Android e pode ser explorada mesmo com o JavaScript desativado em todos os gerenciadores de senhas (com exceção do Google Smart Lock e do Dashlane). Se o JavaScript for ativado, todos os gerenciadores de senhas mencionados acima serão afetados pela falha de segurança.