Ataque AutoSpill pode revelar passwords de gestores de passwords Android

Um ataque designado por AutoSpill pode fazer com que diversos gestores de password Android revelem essa informação a apps maliciosas em Android.

Este ataque AutoSpill tira partido da sistema WebView, que permite às apps apresentarem conteúdo da web dentro da própria app, como se fosse a janela de um browser, sem atirar os utilizadores para um browser externo. Neste caso, uma app maliciosa apresenta uma página de login, que os gestores de password se apressarão a preencher com as credenciais de acesso do utilizador, e que poderão ser recolhidas pela app maliciosa. Nalguns casos isso só acontece com ajuda de injecção de javascript malicioso na página, mas em grande parte dos gestores também permite apanhar as passwords mesmo sem recurso a Javascript adicional.

A falha afecta gestores populares como o 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048, e Keepass2Android 1.09c-r0; sendo que o Google Smart Lock 13.30.8.26 e DashLane 6.2221.3 também são afectados, mas só através da injecção de Javascript adicional.

Alguns dos gestores de passwords dizem já ter implementado sistemas que alertam os utilizadores antes dos dados serem automaticamente preenchidos em cenários de risco, enquanto outros preferem manter a conveniência e dizendo que é da responsabilidade dos utilizadores estarem atentos para não instalarem apps maliciosas - que teriam que ultrapassar as verificações da Google para entrarem na Play Store.

Tudo isto serve como mais um incentivo não oficial para adoptarem o sistema de Passkeys em todos os serviços que o permitirem - e já vão sendo muitos - que elimina por completo toda esta questão do risco das passwords.