As menaxherët e fjalëkalimeve nuk ndihmojnë: AutoSpill vjedh të dhënat e përdoruesit
Është krijuar një sulm i ri me qëllim të keq që mund të vjedhë kredencialet e përdoruesve të Android gjatë veprimeve "autofill".
Në një prezantim në konferencën e sigurisë Black Hat Europe, studiuesit e sigurisë kibernetike nga Instituti Ndërkombëtar i Teknologjisë së Informacionit (IIIT) vunë në dukje se ata kanë zhvilluar një sulm të ri me qëllim të keq, të quajtur AutoSpill, që sulmon menaxherët e fjalëkalimeve.
Testet e tyre tregojnë se shumica e menaxherëve të fjalëkalimeve të Android janë të cenueshëm ndaj cenueshmërisë AutoSpill, edhe nëse nuk ka injeksion JavaScript.
Menaxherët e fjalëkalimeve të Android përdorin kornizën WebView për të futur automatikisht kredencialet e një përdoruesi në një llogari kur aplikacioni ngarkon një faqe identifikimi për shërbime të tilla si Apple, Facebook, Microsoft ose Google.
Studiuesit e sigurisë thonë se është e mundur të shfrytëzohet një dobësi në këtë proces për të përgjuar të dhënat e plotësimit automatik, edhe pa injeksion JavaScript. Nëse injeksionet JavaScript janë të aktivizuara, të gjithë menaxherët e fjalëkalimeve të Android janë të cenueshëm ndaj sulmeve të derdhjes automatike.
Studiuesit testuan AutoSpill në menaxherët e fjalëkalimeve Android 10, 11 dhe 12 dhe gjetën 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 dhe Keepass1.vul0.
Studiuesit e sigurisë kibernetike informuan zhvilluesit e sigurisë së Android për problemin e mundshëm dhe sugjeruan disa zgjidhje, të cilat nuk u ndanë me publikun.
