'n Onlangse studie wat deur navorsers by IIIT Hyderabad uitgevoer is, het 'n beduidende kwesbaarheid in die outovul-funksionaliteit van Android-toepassings aan die lig gebring. Gedoop "AutoSpill," kan hierdie kwesbaarheid onbedoeld gebruikers se gestoorde geloofsbriewe van mobiele wagwoordbestuurders blootlê deur Android se veilige outovulmeganisme te omseil.

Die navorsers het ontdek dat wanneer 'n Android-toepassing 'n aanmeldbladsy in WebView laai, wagwoordbestuurders verward kan raak oor waar om die gebruiker se aanmeldinligting te stoor, wat moontlik hul geloofsbriewe aan die onderliggende toepassing se inheemse velde blootstel. WebView, 'n voorafgeïnstalleerde enjin van Google, laat ontwikkelaars toe om webinhoud binne toepassings te vertoon, en dit veroorsaak 'n outovulversoek.

Verbeel jou byvoorbeeld dat jy by jou gunsteling musiekprogram op jou mobiele toestel aanmeld deur die opsie "aan te meld via Google of Facebook". Die toepassing sal 'n Google- of Facebook-aanmeldbladsy in sy Webaansig oopmaak. Wanneer die wagwoordbestuurder egter die geloofsbriewe outomaties invul, kan dit hulle per ongeluk blootstel aan die basistoepassing in plaas van die beoogde webblad.

Die gevolge van hierdie kwesbaarheid is beduidend, veral as die basistoepassing kwaadwillig is. Enige kwaadwillige toepassing wat gebruikers aanspoor om via 'n derdeparty-werf, soos Google of Facebook aan te meld, kan outomaties toegang tot sensitiewe inligting kry.

Die navorsers het gewilde wagwoordbestuurders, insluitend 1Password, LastPass, Keeper en Enpass, op opgedateerde Android-toestelle getoets en gevind dat die meeste toepassings kwesbaar is vir geloofslekkasie, selfs met JavaScript-inspuiting gedeaktiveer. Toe JavaScript-inspuiting geaktiveer is, was alle wagwoordbestuurders vatbaar vir die AutoSpill-kwesbaarheid.

Die navorsers het Google en die geaffekteerde wagwoordbestuurders dadelik in kennis gestel van die fout. Sommige maatskappye, soos 1Password, het die probleem erken en werk aktief aan 'n oplossing om die kwesbaarheid te versag. Ander, soos Keeper, het verdere bewyse aangevra voordat hulle die bestaan ​​van die kwesbaarheid bevestig het.

Terwyl LastPass reeds 'n versagtingstrategie geïmplementeer het om gebruikers oor hierdie uitbuiting te waarsku, het hulle hul opwip-waarskuwing opgedateer om meer insiggewende bewoording te verskaf.

Die IIIT Hyderabad-navorsers gaan voort met hul ondersoek en ondersoek die moontlikheid dat 'n aanvaller geloofsbriewe van die toepassing na WebView kan onttrek. Hulle ondersoek ook of hierdie kwesbaarheid op iOS herhaal kan word.