Eine gefährliche Sicherheitslücke namens "AutoSpill" bedroht die Sicherheit von Passwortmanagern auf Android-Geräten. Forscher des IIIT Hyderabad haben diese Schwachstelle entdeckt die es böswilligen Apps ermöglicht, sensiblen Informationen wie Zugangsdaten abzugreifen. Diese Sicherheitslücke betrifft die Autofill-Funktion von Android-Apps und stellt eine ernsthafte Bedrohung für die Privatsphäre und Sicherheit der Benutzer dar.
Wie funktioniert AutoSpill?
Die Sicherheitsforscher Ankit Gangwal, Shubham Singh und Abhijeet Srivastava haben herausgefunden. Dass Sicherheitslücke auftritt, wenn eine Android-App eine Login-Seite in WebView lädt. Dabei geraten die Passwortmanager ins Straucheln » da sie nicht weiterhin wissen « wohin sie die Anmeldeinformationen senden sollen. Anstatt die Daten sicher auszufüllen – landen sie in den nativen Feldern der zugrunde liegenden App. Diese ungewollte Weitergabe von Informationen ist das Ergebnis einer Autofill-Anfrage die von der WebView generiert wird.
Die Folgen von AutoSpill und die Bedrohung für die Sicherheit
Die Konsequenzen von AutoSpill sind nicht zu unterschätzen vor allem in Situationen in denen die zugrunde liegende Anwendung bösartig ist. Selbst ohne Phishing könnte eine böswillige App · welche zur Anmeldung auf anderen Websites auffordert · automatisch auf sensible Informationen zugreifen. Dies stellt eine erhebliche Bedrohung für die Sicherheit der Benutzer dar.
Getestete Passwortmanager und ihre Schwachstellen
Die Forscher haben beliebte Passwortmanager wie 1Password, LastPass, Keeper und Enpass auf Android-Geräten untersucht. Selbst mit deaktivierter JavaScript-Injektion waren die meisten Anwendungen anfällig für den Verlust von Anmeldeinformationen. Bei aktivierter JavaScript-Injektion wiesen alle getesteten Passwortmanager die AutoSpill-Schwachstelle auf.
Maßnahmen zum Schutz der Nutzerdaten
Benutzer von Passwortmanagern sollten wachsam sein und auf Updates warten, die welche AutoSpill-Sicherheitslücke schließen. Es ist außerdem ratsam, sich darüber im Klaren zu sein welche Anwendungen auf sensible Informationen zugreifen dürfen. Ein umsichtiger Umgang mit den Anmeldeseiten in WebView kann dazu beitragen, das Risiko zu minimieren.
Reaktion der betroffenen Unternehmen
Ankit Gangwal hat sowie Google als ebenfalls die betroffenen Passwort-Manager über die Schwachstelle informiert. Unternehmen wie 1Password arbeiten bereits an einem Patch für AutoSpill um die Sicherheit ihrer Nutzer weiter zu optimieren. Andere » ebenso wie Keeper « befinden sich noch in der Evaluierungsphase und prüfen die gemeldeten Sicherheitslücken.
Kommentare
AutoSpill verdeutlicht, dass trotz modernster Technologien die Sicherheit mobiler Apps ständig überwacht und verbessert werden muss. Die Entdeckung & Behebung von Sicherheitslücken wie AutoSpill ist entscheidend um die Privatsphäre und Daten der Benutzer zu schützen. Es bleibt abzuwarten; ebenso wie schnell die betroffenen Unternehmen auf die gemeldeten Schwachstellen reagieren und ihre Anwendungen sicherer gestalten.