image

Mobiele wachtwoordmanagers kunnen via autofill inloggegevens lekken

donderdag 7 december 2023, 16:37 door Redactie, 3 reacties

Mobiele wachtwoordmanagers kunnen via de autofill-functie van Android-apps de inloggegevens van gebruikers lekken, zo hebben onderzoekers aangetoond. Wanneer een gebruiker op een Android-app wil inloggen kan die een inlogpagina via WebView laden. Daarbij kan het voorkomen dat de wachtwoordmanager niet weet waar de inloggegevens moeten worden ingevuld, namelijk in de WebView-pagina of direct in de onderliggende app.

WebView is een belangrijk onderdeel van Android voor het weergeven van webpagina's. Het is een los browservenster dat ontwikkelaars in hun apps kunnen toepassen en maakt het mogelijk om websites en pagina's binnen de schermlay-out van de applicatie weer te geven. De WebView-engine is een standaardonderdeel van Android. Wanneer een app via WebView een inlogpagina weergeeft, zal de autofill-functie voor het automatisch invullen van inloggegevens worden aangeroepen.

Wanneer gebruikers bijvoorbeeld op een muziek-app op hun Androidtelefoon willen inloggen, en er wordt gekozen voor inloggen via Facebook of Google, zal de muziek-app de inlogpagina van Facebook of Google via een WebView binnen de app laden. Wanneer de wachtwoordmanager wordt aangeroepen om de inloggegevens automatisch in te vullen, zou dit idealiter in de WebView-pagina moeten gebeuren. De onderzoekers ontdekten dat de autofill-functie onbedoeld de inloggegevens aan de onderliggende app doorgeeft.

Dit zou met name een probleem zijn in het geval van malafide apps, die zo inloggegevens van gebruikers kunnen stelen. Volgens de onderzoekers is de 'AutoSpill' kwetsbaarheid onder andere aanwezig in 1Password, LastPass, Keeper en Enpass. 1Password laat tegenover TechCrunch weten dat het aan een beveiligingsupdate werkt. LastPass zegt dat het gebruikers via een pop-up voor eventuele aanvallen waarschuwt.

Reacties (3)
07-12-2023, 22:07 door Anoniem
Met KeepassDX op Android heb ik dit probleem niet, ik moet altijd zelf handmatig het paswoord en gebruikersnaam selecteren vanuit magikeyboard.
09-12-2023, 22:08 door Erik van Straten
Door Anoniem: Met KeepassDX op Android heb ik dit probleem niet, ik moet altijd zelf handmatig het paswoord en gebruikersnaam selecteren vanuit magikeyboard.
Dat maakt het niet veilig.

Als ik het goed begrijp zijn passwordmanagers hier niet het fundamentele probleem, maar het erop vertrouwen dat er een betrouwbare scheiding bestaat tussen een WebView en de App waarin die WebView draait: dat weet je nooit zeker.

Oftewel, als een een App (niet van Google) een WebView aanbiedt met bijv. "Log in using Google" en je voert daar vervolgens jouw Google user-ID en wachtwoord op in, dan kun je er het beste vanuit gaan dat die App (en diens makers) daarna jouw Google user-ID en wachtwoord kennen (ongeacht hoe je jouw credentials hebt ingevoerd: handmatig, copy/paste, magikeyboard of autofill).

Uit https://support.google.com/faqs/answer/12284343?hl=en:
Using OAuth for authentication in a WebView can make your app susceptible to security problems and hurt usability by disconnecting the user from single sign-on sessions.

Overigens, juist als je een wachtwoordmanager gebruikt lijkt het mij helemaal onverstandig om middels een derde partij te authenticeren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.