Популярность менеджеров паролей растёт, поскольку невозможно запомнить десятки и сотни логинов и паролей от разных учётных записей, которые к тому же должны быть максимально длинными и сложными. Однако, хранение наиболее ценной информации в интернете всегда сопряжено с рисками. Очередное исследование показывает, что не самая сложная уязвимость в операционной системе Android способна подвергнуть риску ваши логины и пароли. Особенно этот риск велик тогда, когда веб-страницы загружаются внутри приложения и необходимо выполнить вход в аккаунт для просмотра содержимого.
Несколько популярных менеджеров паролей могут выдавать данные на вход из-за уязвимости механизма автозаполнения WebView. Он входит в состав многих приложений на Android-устройствах.
Уязвимость нашли специалисты из Индийского технологического института и назвали её AutoSpill. Она автоматически выдаёт учётные данные из менеджеров пароля на мобильных устройствах и меры безопасности функции автозаполнения на Android не помогают.
В качестве примера можно назвать приложения, где можно выполнять вход в аккаунт через аккаунты Google или некоторых социальных сетей. Диспетчер паролей должен внести логин и пароль в соответствующие поля в интерфейсе WebView. Вместо этого логин и пароль иногда передаются напрямую в приложение.
В итоге, если вредоносное приложение выдаёт себя за обычное, оно может перехватить эти данные и получить доступ к аккаунтам пользователей. Подобно регулярно происходит с приложениями из магазина Google Play Store. Google удаляет их из магазина, но к этому моменту могут быть украдены данные десятков и сотен тысяч пользователей.
Были протестированы популярные мессенджеры паролей LastPass, 1Password, Enpass и Keeper на Android-устройствах со всеми доступными обновлениями безопасности. Уязвимы оказались почти все эти менеджеры, хотя у них было отключено внедрение JavaScript. После включения внедрения JavaScript уязвимость к AutoSpill была абсолютно у всех менеджеров.
В настоящее время в США 34% пользователей мобильных устройств применяют менеджеры пароли против 21% в 2022 году. Уязвимость AutoSpill не требует от злоумышленников никаких особых ухищрений.
Пока нет явных доказательств того, что эта уязвимость уже применялась на практике. Однако, на запрос исследователей большинство разработчиков менеджеров паролей не ответили, а другие посоветовали обратиться к Google. Только разработчики 1Password сообщили, что самостоятельно устранят проблему с AutoSpill.
Google настоящее время работает над закрытием уязвимости, присвоив ей приоритет 2 и степень серьёзности 2. Чтобы не подвергать свои данные риску, пользователи могут отказаться от паролей в пользу ключей доступа.
