Notebookcheck Logo

A vulnerabilidade AutoSpill dos gerenciadores de senhas Android expõe dados de login

Uma nova vulnerabilidade de segurança coloca em risco os aplicativos gerenciadores de senhas em Android (Imagem: Dan Nelson/Unsplash).
Uma nova vulnerabilidade de segurança coloca em risco os aplicativos gerenciadores de senhas em Android (Imagem: Dan Nelson/Unsplash).
A inserção de senhas usando a função de preenchimento automático em gerenciadores de senhas tem uma vulnerabilidade de segurança em dispositivos Android. Aplicativos mal-intencionados podem usar o módulo WebView para espionar os detalhes de login à medida que são inseridos.

Na conferência de segurança Black Hat Europe 2023 conferência de segurança, pesquisadores do Instituto Indiano de Tecnologia da Informação https://www.iiit.ac.in/ apresentaram uma nova vulnerabilidade chamada "AutoSpill". Devido a uma falha no módulo Android WebView, que é baseado no navegador Chrome e usado para inserir senhas em aplicativos, aplicativos mal-intencionados podem teoricamente acessar dados do gerenciador de senhas sem serem notados.

Se um gerenciador de senhas inserir automaticamente os dados de acesso usando o preenchimento automático, os dados de login poderão ser inseridos nos campos de dados do aplicativo subjacente no WebView em vez de no site. Nesse caso, o próprio aplicativo pode simplesmente ler os dados de login, que, na verdade, devem ser inseridos apenas na página de login no WebView.

Isso significa que o phishing não é necessário aqui, ou seja, a exibição de um site falso com campos de nome de usuário e senha, mas sim a exibição da página de login real de um serviço de Internet. A vulnerabilidade de segurança foi testada com gerenciadores de senhas usando o próprio Google Smart Lock do Android, bem como os aplicativos de terceiros 1Password, Dashlane, Enpass, LastPass, Keepass2Android e Keeper.

De acordo com os pesquisadores do , a vulnerabilidade 'AutoSpill' ocorre nas versões 10, 11 e 12 do Android e pode ser explorada mesmo com o JavaScript desativado em todos os gerenciadores de senhas (com exceção do Google Smart Lock e do Dashlane). Se o JavaScript for ativado, todos os gerenciadores de senhas mencionados acima serão afetados pela falha de segurança.

Please share our article, every link counts!
> Análises e revisões de portáteis e celulares > Arquivo de notícias 2023 12 > A vulnerabilidade AutoSpill dos gerenciadores de senhas Android expõe dados de login
Alexander Pensler, 2023-12-12 (Update: 2023-12-12)