Создаден е нов злонамерен напад, кој може да ги украде ингеренциите на корисниците на Android при дејствата за „автоматско пополнување“.
Во презентација на конференцијата за безбедност на Black Hat Europe, истражувачите за сајбер безбедност од Меѓународниот институт за информатичка технологија (IIIT) истакнаа дека развиле нов злонамерен напад, наречен AutoSpill, кој ги напаѓа менаџерите со лозинки.
Нивните тестови покажуваат дека повеќето менаџери со лозинки за Android се ранливи на ранливоста на AutoSpill, дури и ако нема инјекција на JavaScript.
Менаџерите на лозинки на Android ја користат рамката WebView за автоматско внесување на ингеренциите на корисникот во сметка кога апликацијата вчитува страница за најавување за услуги како што се Apple, Facebook, Microsoft или Google.
Безбедносните истражувачи велат дека е можно да се искористи ранливост во овој процес за да се пресретнат податоците за автоматско комплетирање, дури и без инјектирање JavaScript. Ако инјекциите на JavaScript се овозможени, сите управувачи со лозинки на Андроид се ранливи на напади со автоматско истурање.
Истражувачите го тестираа AutoSpill на Android 10, 11 и 12 менаџери за лозинки и пронајдоа 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 и Keepass1.vul0.
Истражувачите за сајбер безбедност ги информираа програмерите за безбедност на Android за потенцијалниот проблем и предложија некои решенија, кои не беа споделени со јавноста.