Android: Sicherheitslücke AutoSpill kann Zugangsdaten über Passwortmanager offenlegen

Eine neue Sicherheitslücke gefährdet Passwortmanager-Apps unter Android (Bild: Dan Nelson/Unsplash).

Update: Es gibt neue Informationen zur Sicherheitslücke beim Enpass-Passwortmanager - Die Eingabe von Passwörtern mittels Autofill-Funktion durch Passwortmanager weist auf Android-Geräten eine Sicherheitslücke auf. Böswillige Apps können über das Modul WebView die Anmeldedaten bei der Eingabe ausspähen.

Alexander Pensler, Veröffentlicht am 11.12.2023 🇺🇸 🇫🇷 ...

Auf der Sicherheitskonferenz Black Hat Europe 2023 haben Forschende des indischen Institute of Information Technology eine neue Schwachstelle namens "AutoSpill" vorgestellt. Durch eine Lücke im Android-Modul "WebView", das auf dem Chrome-Browser basiert und zur Eingabe von Passwörtern in Apps dient, können böswillige Apps theoretisch unbemerkt Daten aus dem Passwortmanager abgreifen.

Trägt ein Passwortmanager mittels Autofill automatisiert die Zugangsdaten ein, so können in bestimmten Fällen die Login-Daten statt in die Website in WebView in Datenfelder der darunterliegenden App eingefügt werden. In diesem Fall könnte die App selbst die Daten zum Einloggen auslesen, die eigentlich lediglich in die Login-Seite innerhalb von WebView eingefügt werden sollte.

Somit ist hier kein Phishing notwendig, also das Anzeigen einer gefälschten Website mit Feldern für Nutzernamen und Passwort, sondern es wird die echte Login-Seite eines Internetdienstes angezeigt. Getestet wurde die Sicherheitslücke mit den Passwortmanagern mit dem Android-eigenen Google Smart Lock sowie den Drittanbieter-Apps 1Password, Dashlane, Enpass, LastPass, Keepass2Android und Keeper.

Die "AutoSpill"-Schwachstelle trittt laut den Forschenden in den Android-Versionen 10, 11 und 12 auf und ist sogar bei ausgeschaltetem JavaScript bei allen Passwortmanagern mit Ausnahme von Google Smart Lock und Dashlane ausutzbar. Ist JavaScript wie üblich aktiviert, so sind alle untersuchten Passwortmanager von der Sicherheitslücke betroffen.

Update 14. Dezember 2023: Bezüglich der AutoSpill Sicherheitslücke im Enpass Passwortmanager hat uns der Enpass Pressesprecher Rob Blackwelder kontaktiert. Laut Rob Blackwelder wurde Enpass bereits im Juni 2022 vom Forscherteam um Ankit Gangwal kontaktiert und über die AutoSpill-Sicherheitslücke informiert. "Die Schwachstelle wurde daraufhin in Enpass 6.8.3 gepatcht, welches am 29. September 2022 veröffentlicht wurde" und ist somit seit über einem Jahr im Enpass Passwortmanager geschlossen schreibt uns der Pressesprecher.

Quelle(n)

Black Hat Europe via TechCrunch

Verwandte Artikel

Screenshots der Telegram-Gruppe zeigen Kamerabilder von Schlafzimmern, die zum Verkauf stehen

Gehackte Aufnahmen von Überwachungskameras aus Schlafzimmern, Umkleideräumen und Spas in Telegram-Gruppe angeboten 28.12.2023

Eine Netatmo Welcome war von einer Sicherheitslücke betroffen. (Bild: Netatmo)

Einblick in fremde Sicherheitskameras bei Ubiquiti und Netatmo 16.12.2023

Das Huawei MatePad Air erhält in der PaperMatte Edition ein mattes Display. (Bild: Huawei)

Huawei enthüllt MatePad Air PaperMatte Edition mit Snapdragon 888 und 144 Hz Touchscreen mit Papier-Textur 13.12.2023

Das Nubia Z60 Ultra könnte kaum auffälliger aussehen. (Bild: Nubia)

Nubia vergleicht Z60 Ultra mit Apple iPhone 15 Pro im Promo-Video, Bilder enthüllen kurioses Design 12.12.2023

Das Samsung Galaxy A15 wird länger mit Updates versorgt als die meisten Geräte dieser Preisklasse. (Bild: Samsung)

Samsung enthüllt Galaxy A15 (5G): Fünf Jahre Updates und AMOLED-Display zum attraktiven Preis 12.12.2023

Das Google Pixel 8 Pro kann in der Akku-Analyse von DxOMark nicht überzeugen. (Bild: Notebookcheck)

Ineffizienter Tensor G3: Google Pixel 8 Pro schafft es nicht in die Top 100 der DxOMark Akku-Bestenliste 11.12.2023

Teclast P30T: Neues Android-Tablet mit aktuellem Betriebssystem

Teclast P30T: Dieses günstige Tablet startet mit Android 14 09.12.2023

Beeper Mini: Messenger-App für Android ahmt iMessage nach

Beeper Mini: Diese Messenger-App bringt iMessage auf Android - dank Reverse Engineering und mit blauen SPrechblasen 06.12.2023

Microsoft bietet erstmals auch für Konsumenten ein Abo für verlängerten Windows-Support an. (Bild: Arnav Singhal)

Windows 10 erfordert ab 2025 kostenpflichtiges Abo für Sicherheits-Updates 06.12.2023

Sicherheitslücken in den Open-Source-Diensten drängen zum Server-Update (Bild: Nextcloud/Owncloud)

Sicherheitslücken in Cloud-Software Nextcloud und ownCloud entdeckt 04.12.2023

Loading Comments

Diesen Artikel kommentieren / Antworten

Linux bekommt einen Blue Screen of ...

Poco M6 5G: Leak liefert Hinweis, w...

Alexander Pensler - News Writer - 489 Artikel auf Notebookcheck veröffentlicht seit 2023

Technik begleitet mich schon mein ganzes Leben, angefangen mit Nintendo-Konsolen, später kamen die ersten PC-Selbstbau-Erfahrungen hinzu, bis ich dann für lange Zeit im Apple-Lager verschwand. Doch seit ich Linux für mich entdeckt habe, benutze ich das freie Betriebssystem mit Begeisterung auf meinem Laptop und Workstation-PC. Seit 2022 arbeite ich als IT-Journalist u.a. für PC Games Hardware und bin mittlerweile als News-Redakteur mit Schwerpunkt Linux für Notebookcheck tätig.

Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!

> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2023-12 > Android: Sicherheitslücke AutoSpill kann Zugangsdaten über Passwortmanager offenlegen

Autor: Alexander Pensler, 11.12.2023 (Update: 22.12.2023)