Специалисты Международного института информационных технологий IIIT Hyderabad рассказали на конференции по компьютерной безопасности Black Hat Europe об уязвимости в функции автозаполнения на Android, из-за чего менеджеры паролей непреднамеренно раскрывают пользовательские данные.

Уязвимость под названием «AutoSpill» заключается в том, что когда приложение на Android загружает страницу входа в WebView, менеджеры паролей могут «дезориентироваться» в том, куда им следует отправить пользовательские данные для входа, передав их в поля авторизации запущенного приложения. Это происходит из-за того, что веб-движок WebView позволяет разработчикам отображать веб-контент в приложении, не запуская веб-браузер, а в это время генерируется запрос на автозаполнение.

«Предположим, вы пытаетесь войти в своё любимое музыкальное приложение на своём мобильном устройстве и используете опцию "Войти с помощью Google или Facebook*". Музыкальное приложение откроет внутри себя страницу входа в Google или Facebook* через WebView. Когда менеджер паролей вызывается для автозаполнения учётных данных, в идеале он должен автоматически заполнять только загруженную в WebView страницу Google или Facebook. Но мы обнаружили, что в этом случае менеджер паролей может случайно раскрыть учётные данные базовому приложению, в котором происходит авторизация», — объяснили обнаружившие уязвимость эксперты изданию TechCrunch.

Другими словами, разработчики стороннего приложения, в котором выполняется авторизация через Google, могут получить доступ к логину и паролю пользователя от его Google-аккаунта. 

Специалисты протестировали несколько самых популярных менеджеров паролей, включая 1Password, LastPass, Keeper и Enpass, на разных устройствах Android, обнаружив в большинстве случаев вероятность утечки данных при отключённой JavaScript-инъекции. При активации этой функции уязвимость работала абсолютно во всех проверенных приложениях.

Разработчики 1Password уже занимаются устранением уязвимости AutoSpill и вскоре выпустят соответствующее обновление. Представители Keeper заявили, что это проблема операционной системы Android, поэтому решением должна заниматься Google. В последней пока никак не отреагировали на сообщения. Тем временем исследователи изучают, есть ли аналогичная проблема на iOS.