Mobiele wachtwoordmanagers kunnen via autofill inloggegevens lekken
Mobiele wachtwoordmanagers kunnen via de autofill-functie van Android-apps de inloggegevens van gebruikers lekken, zo hebben onderzoekers aangetoond. Wanneer een gebruiker op een Android-app wil inloggen kan die een inlogpagina via WebView laden. Daarbij kan het voorkomen dat de wachtwoordmanager niet weet waar de inloggegevens moeten worden ingevuld, namelijk in de WebView-pagina of direct in de onderliggende app.
WebView is een belangrijk onderdeel van Android voor het weergeven van webpagina's. Het is een los browservenster dat ontwikkelaars in hun apps kunnen toepassen en maakt het mogelijk om websites en pagina's binnen de schermlay-out van de applicatie weer te geven. De WebView-engine is een standaardonderdeel van Android. Wanneer een app via WebView een inlogpagina weergeeft, zal de autofill-functie voor het automatisch invullen van inloggegevens worden aangeroepen.
Wanneer gebruikers bijvoorbeeld op een muziek-app op hun Androidtelefoon willen inloggen, en er wordt gekozen voor inloggen via Facebook of Google, zal de muziek-app de inlogpagina van Facebook of Google via een WebView binnen de app laden. Wanneer de wachtwoordmanager wordt aangeroepen om de inloggegevens automatisch in te vullen, zou dit idealiter in de WebView-pagina moeten gebeuren. De onderzoekers ontdekten dat de autofill-functie onbedoeld de inloggegevens aan de onderliggende app doorgeeft.
Dit zou met name een probleem zijn in het geval van malafide apps, die zo inloggegevens van gebruikers kunnen stelen. Volgens de onderzoekers is de 'AutoSpill' kwetsbaarheid onder andere aanwezig in 1Password, LastPass, Keeper en Enpass. 1Password laat tegenover TechCrunch weten dat het aan een beveiligingsupdate werkt. LastPass zegt dat het gebruikers via een pop-up voor eventuele aanvallen waarschuwt.
Als ik het goed begrijp zijn passwordmanagers hier niet het fundamentele probleem, maar het erop vertrouwen dat er een betrouwbare scheiding bestaat tussen een WebView en de App waarin die WebView draait: dat weet je nooit zeker.
Oftewel, als een een App (niet van Google) een WebView aanbiedt met bijv. "Log in using Google" en je voert daar vervolgens jouw Google user-ID en wachtwoord op in, dan kun je er het beste vanuit gaan dat die App (en diens makers) daarna jouw Google user-ID en wachtwoord kennen (ongeacht hoe je jouw credentials hebt ingevoerd: handmatig, copy/paste, magikeyboard of autofill).
Uit https://support.google.com/faqs/answer/12284343?hl=en:
Overigens, juist als je een wachtwoordmanager gebruikt lijkt het mij helemaal onverstandig om middels een derde partij te authenticeren.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
