AutoSpill krade podatke iz Android upravitelja lozinki
Tijekom procesa automatskog popunjavanja pristupnih podataka AutoSpill ima mogućnost presretanja tih podataka u aplikaciji koja se poziva, čak i bez ubacivanja JavaScripta
Tijekom sigurnosne konferencije Black Hat Europe istraživači s Međunarodnog instituta za informacijsku tehnologiju (IIIT) u Hyderabadu rekli su da su njihovi testovi pokazali da je većina upravitelja lozinkama za Android ranjiva na AutoSpill, prenosi Bleeping Computer.
Brojne Android aplikacije koriste WebView kontrole za prikaz forme za prijavu. S obzirom da i upravitelji lozinki koriste isto za automatsko popunjavanje pristupnih podataka za prijavu na usluge kao što su Apple, Facebook, Microsoft ili Google u procesu je moguće presresti pristupne podatke.
Kako je navedeno u prezentaciji, problem s AutoSpillom proizlazi iz neuspjeha Androida da provede ili jasno definira odgovornost za sigurno rukovanje automatski popunjenim podacima.
Neki od upravitelja lozinki kao što su 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 i Keepass2Android 1.09c-r0 osjetljivi su na napade zbog korištenja okvira za automatsko popunjavanje Androida.
S druge strane, Google Smart Lock 13.30.8.26 i DashLane 6.2221.3 koriste drugačiji tehnički pristup tako da AutoSpill nije imao utjecaj na njih.
