Na Android se další další pohroma, tentokrát zranitelnost AutoSpill, který dokáže z mobilních správců hesl zneužitím automatického vyplňování získat všechna vaše uložená hesla. Stačí pokoutně stažená aplikace, ve které se přihlásíte přes Google nebo Facebook účet, a všechna vaše hesla mohou být touto aplikací přečtena. Chyba automatického vyplňování hesel z jejich správců se týká zejména toho, že např. uložené heslo pro Google účet se může automaticky vypisovat i do jiných zadávacích polí, např. jako heslo do Facebooku.

Androidy a aplikace pro správu hesel obsahují novou zranitelnost AutoSpill, která v rámci automatického vyplňování aplikacím prozradí hesla do jiných služeb a aplikací. Ne, k papírkům se vracet nemusíte, rozhodně však vypněte automatické vyplňování hesel
Příkladem může být např. hudební aplikace pro mobilní zařízení, ve které zvolíte přihlášení přes Google nebo Facebook. Mobilní aplikace sama v sobě (přesněji řečeno v elementu WebView) otevře webovou stránku, ve které se můžete přihlásit. V tu chvíli zareagují úložiště hesel, které by v ideálním případě měly vyplnit jen ty údaje, které jsou pro dané přihlášení potřebné. Jenže se ukazuje, že si v tomto případě může aplikace zjistit různá další hesla, což by při cíleném útoku mohlo být obrovské bezpečnostní riziko.
Zranitelnost AutoSpill se objevuje i u nejpoužívanějších správců hesel, tj. u aplikací 1Password, LastPass, Keeper a Enpass. I když máte nejnovější verzi Androidu a nejnovější verzi aplikace, problém s prozrazením přihlašovacích údajů stále existuje. Výzkumný tým, který chybu objevil, informoval Google a vývojáře správce hesel, kteří připravují potřebné opravy a aktualizace. Za současné situace je vhodné se na Androidu aplikacím pro správu hesel raději vyhýbat, resp. u nich (pokud to lze), alespoň deaktivovat automatické vyplňování. Stačí jedna podvržená aplikace, a problém je na světě...
Zdroj: Techcrunch