Создаден е нов злонамерен напад, кој може да ги украде ингеренциите на корисниците на Android при дејствата за „autofill“.
Во рамките на презентација на конференцијата за безбедност Black Hat Europe, истражувачите за сајбер безбедност од Меѓународниот институт за информатичка технологија (IIIT) истакнаа дека развиле нов злонамерен напад, наречен AutoSpill, кој ги напаѓа програмите за управување со лозинки (password managers).
Нивните тестови покажуваат дека повеќето password менаџери за Android се подложни на AutoSpill ранливоста, дури и ако нема JavaScript injection.
Управувачите со лозинки на Android ја користат WebView framework за автоматско внесување на ингеренциите на корисникот во сметката кога апликацијата вчитува страница за најавување за услуги како што се Apple, Facebook, Microsoft или Google.
Безбедносните истражувачи велат дека е можно да се искористи ранливоста во овој процес за да се пресретнат податоците за автоматско комплетирање, дури и без JavaScript injection. Ако JavaScript injection се овозможени, сите управувачи со лозинки на Андроид се ранливи на AutoSpill напади.
Истражувачите го тестираа AutoSpill на Android 10, 11 и 12 менаџери за лозинки и пронајдоа дека 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 и Keepass1.vul0 се подложни на напади.
Истражувачите за сајбер безбедност ги информираа програмерите за безбедност на Android за потенцијалниот проблем и предложија некои решенија, кои не беа споделени со јавноста.