La vulnérabilité AutoSpill des gestionnaires de mots de passe Android expose les données de connexion

Lors de la conférence sur la sécurité Black Hat Europe 2023 des chercheurs de l'Indian Institute of Information Technology ont présenté une nouvelle vulnérabilité appelée "AutoSpill" ont présenté une nouvelle vulnérabilité appelée "AutoSpill". En raison d'une faille dans le module Android WebView, basé sur le navigateur Chrome et utilisé pour saisir les mots de passe dans les applications, les applications malveillantes peuvent théoriquement accéder aux données du gestionnaire de mots de passe sans que personne ne s'en aperçoive.

Si un gestionnaire de mots de passe saisit automatiquement les données d'accès à l'aide du remplissage automatique, les données de connexion peuvent être insérées dans les champs de données de l'application sous-jacente dans WebView au lieu du site web. Dans ce cas, l'application elle-même peut simplement lire les données de connexion, qui devraient en fait être insérées dans la page de connexion dans WebView.

Cela signifie que le phishing n'est pas nécessaire ici, c'est-à-dire l'affichage d'un faux site web avec des champs de nom d'utilisateur et de mot de passe, mais plutôt la vraie page de connexion d'un service internet. La faille de sécurité a été testée avec des gestionnaires de mots de passe utilisant Android's own Google Smart Lock ainsi que les applications tierces 1Password, Dashlane, Enpass, LastPass, Keepass2Android et Keeper.

Selon les chercheurs de , la vulnérabilité "AutoSpill" est présente dans les versions 10, 11 et 12 de Android et peut être exploitée même si JavaScript est désactivé dans tous les gestionnaires de mots de passe (à l'exception de Google Smart Lock et de Dashlane). Si JavaScript est activé, tous les gestionnaires de mots de passe susmentionnés sont affectés par la faille de sécurité.