Kreiran je novi maliciozni napad, koji možed a krade kredencijale Android korisnika tokom “autofill” radnji.
U okviru prezentacije na Black Hat Europe konferenciji o bezbednosti, istraživači za sajber bezbednost sa International Institute of Information Technology (IIIT) su istakli da su razvili novi maliciozni napad, pod nazivom AutoSpill, koji napada programe za upravljanje lozinkama (password managers).
Njihovi testovi pokazuju da je većina password managera za Android podložna AutoSpill ranjivosti, čak i ukoliko ne postoji JavaScript injection.
Menadžeri lozinki na Androidu koriste WebView framework za automatsko kucanje korisnikovih kredencijala u okviru naloga, kada apliakcija učitava stranicu za logovanje za servise kao što su Apple, Facebook, Microsoft ili Google.
Istraživači za bezbednost kažu da je moguće iskoristiti ranjivost u ovom procesu kako bi se presreli podaci koji se automatski popunjavaju, čak i bez JavaScript injection-a. Ukoliko su JavaScript injections odobreni, svi menadžeri lozinki na Androidu su podložni AutoSpill napadima.
Istraživači su testirali AutoSpill na menadžerima lozinki u okviru Android 10, 11 i 12 sistema i otkrili su da su 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 i Keepass2Android 1.09c-r0 podložni napadima.
Istraživači za sajber bezbednost su upoznali kreatore zaštite za Android platformu o potencijalnom problemu i predložili neka rešenja, koja nisu podeljena sa javnošću.
