Wachtwoordmanagers op Android-toestellen schermen inloggegevens niet goed af als er gebruik wordt gemaakt van de autofill-functie, meldt Tweakers. Dit is een probleem, want malafide app-makers kunnen hierdoor inloggegevens buitmaken.
Steeds meer mensen maken gebruik van wachtwoordmanagers. Deze tool verzamelt al jouw wachtwoorden in een digitale kluis en beveiligt ze met een overkoepelend wachtwoord. Wanneer je dus wilt loggen op een website, kan een wachtwoordmanager automatisch jouw inloggegevens invullen. Klinkt erg handig, maar Indiase onderzoekers hebben ontdekt dat Android-wachtwoordmanagers inloggegevens niet goed afschermen als gegevens automatisch worden ingevuld.
Black Hat Europe
De onderzoekers gaven de kwetsbaarheid die ze vonden de naam ‘AutoSpill’ en maakten het nieuws bekend tijdens de bijeenkomst Black Hat Europe. Dit live event biedt deelnemers het laatste nieuws op het gebied van onderzoek, ontwikkeling en trends op het gebied van cybersecurity.
Wat is er aan de hand?
Tijdens de presentatie werd aangetoond dat als een Android-gebruiker inlogt via een app, diegene ook de optie krijgt om dat te doen via een webpagina van de in-app-browser. Een in-app-browser houdt in dat mensen websitelinks kunnen openen terwijl ze een app op hun mobiel gebruiken.
Het probleem is dat de gebruiker op die webpagina de optie krijgt om via de wachtwoordmanager de autofill-functie te gebruiken. Die inloggegevens worden vervolgens gedeeld met de onderliggende app en niet uitsluitend met de webpagina die men voor zich heeft. Malafide app-makers kunnen hierdoor de inloggegevens van gebruikers buitmaken.
Hoe kan dit gebeuren?
Volgens de onderzoekers ligt een fundering binnen Android aan de basis van het probleem. Hierdoor heeft het probleem niet te maken met één wachtwoordmanager, maar met meerdere. De kwetsbaarheid zit in de fundering van Android 10, 11 en 12 en is gespot in wachtwoordmanagers 1Password, Lastpass, Keeper en Keepass2Android. De bedrijven achter deze wachtwoordmanagers zouden op de hoogte zijn gesteld van het probleem.
Bron: Tweakers, AndroidWorld en Black Hat Europe