Android: Sicherheitslücke AutoSpill kann Zugangsdaten über Passwortmanager offenlegen
Auf der Sicherheitskonferenz Black Hat Europe 2023 haben Forschende des indischen Institute of Information Technology eine neue Schwachstelle namens "AutoSpill" vorgestellt. Durch eine Lücke im Android-Modul "WebView", das auf dem Chrome-Browser basiert und zur Eingabe von Passwörtern in Apps dient, können böswillige Apps theoretisch unbemerkt Daten aus dem Passwortmanager abgreifen.
Trägt ein Passwortmanager mittels Autofill automatisiert die Zugangsdaten ein, so können in bestimmten Fällen die Login-Daten statt in die Website in WebView in Datenfelder der darunterliegenden App eingefügt werden. In diesem Fall könnte die App selbst die Daten zum Einloggen auslesen, die eigentlich lediglich in die Login-Seite innerhalb von WebView eingefügt werden sollte.
Somit ist hier kein Phishing notwendig, also das Anzeigen einer gefälschten Website mit Feldern für Nutzernamen und Passwort, sondern es wird die echte Login-Seite eines Internetdienstes angezeigt. Getestet wurde die Sicherheitslücke mit den Passwortmanagern mit dem Android-eigenen Google Smart Lock sowie den Drittanbieter-Apps 1Password, Dashlane, Enpass, LastPass, Keepass2Android und Keeper.
Die "AutoSpill"-Schwachstelle trittt laut den Forschenden in den Android-Versionen 10, 11 und 12 auf und ist sogar bei ausgeschaltetem JavaScript bei allen Passwortmanagern mit Ausnahme von Google Smart Lock und Dashlane ausutzbar. Ist JavaScript wie üblich aktiviert, so sind alle untersuchten Passwortmanager von der Sicherheitslücke betroffen.
Update 14. Dezember 2023: Bezüglich der AutoSpill Sicherheitslücke im Enpass Passwortmanager hat uns der Enpass Pressesprecher Rob Blackwelder kontaktiert. Laut Rob Blackwelder wurde Enpass bereits im Juni 2022 vom Forscherteam um Ankit Gangwal kontaktiert und über die AutoSpill-Sicherheitslücke informiert. "Die Schwachstelle wurde daraufhin in Enpass 6.8.3 gepatcht, welches am 29. September 2022 veröffentlicht wurde" und ist somit seit über einem Jahr im Enpass Passwortmanager geschlossen schreibt uns der Pressesprecher.