Nekoliko poznatih mobilnih upravljača lozinki neočekivano propušta korisničke podatke zbog greške u funkcionalnosti automatskog popunjavanja Android aplikacija.
Ova greška, nazvana "AutoSpill", izlaže korisničke podatke pohranjene u mobilnim upravljačima lozinki, zaobilazeći Androidov siguran mehanizam automatskog popunjavanja, kako su otkrili istraživači sa univerziteta IIIT Hyderabad - Ankit Gangwal, Shubham Singh i Abhijeet Srivastava. Njihova otkrića su podijeljena na Black Hat Europe.
Istraživači su primijetili da kada Android aplikacija prikaže stranicu za prijavu u WebView, upravljači lozinki mogu pogrešno odrediti gdje unijeti korisničke podatke, slučajno ih otkrivajući aplikaciji. Problem proizlazi iz dizajna WebView-a, koji omogućava prikazivanje web sadržaja unutar aplikacije bez otvaranja preglednika, pokrećući zahtjev za automatsko popunjavanje.
Gangwal je TechCrunchu objasnio primjer s prijavom u muzičku aplikaciju putem Googlea ili Facebooka. Idealno, upravljač lozinkama trebao bi popuniti podatke samo na učitanoj Google ili Facebook stranici. Međutim, otkrili su da automatsko popunjavanje može slučajno otkriti podatke osnovnoj aplikaciji.
Gangwal je naglasio značajan rizik ove ranjivosti, posebno s malicioznim osnovnim aplikacijama, koje mogu pristupiti osjetljivim informacijama bez phishinga.
Tim je testirao AutoSpill na široko korištenim upravljačima lozinki poput 1Password, LastPass, Keeper i Enpass na modernim Android uređajima. Otkrili su da su većina aplikacija podložne curenju podataka, s povećanim rizikom kada je omogućena injekcija JavaScripta.
1Password i Keeper su odgovorili TechCrunchu o rješavanju ovog problema. Pedro Canahuati, CTO 1Passworda, spomenuo je skori popravak za jačanje sigurnosti, osiguravajući da se podaci popunjavaju samo u namijenjenim poljima. Craig Lurey, CTO Keepera, priznao je potencijalnu ranjivost, ali nije potvrdio konkretne popravke.
Google i Enpass nisu odgovorili na upite, dok je LastPass već imao postojeće ublažavanje putem upozorenja u aplikaciji, kasnije ažuriranog radi jasnoće.
Gangwal je prijavio ova otkrića Googleu i pogođenim upravljačima lozinki. Istraživački tim dalje istražuje potencijalno izvlačenje podataka iz aplikacije u WebView i mogućnost repliciranja ove ranjivosti na iOS-u.