Mobiele wachtwoordmanagers kunnen via de autofill-functie van Android-apps de inloggegevens van gebruikers lekken, zo hebben onderzoekers aangetoond. Wanneer een gebruiker op een Android-app wil inloggen kan die een inlogpagina via WebView laden. Daarbij kan het voorkomen dat de wachtwoordmanager niet weet waar de inloggegevens moeten worden ingevuld, namelijk in de WebView-pagina of direct in de onderliggende app.

WebView is een belangrijk onderdeel van Android voor het weergeven van webpagina's. Het is een los browservenster dat ontwikkelaars in hun apps kunnen toepassen en maakt het mogelijk om websites en pagina's binnen de schermlay-out van de applicatie weer te geven. De WebView-engine is een standaardonderdeel van Android. Wanneer een app via WebView een inlogpagina weergeeft, zal de autofill-functie voor het automatisch invullen van inloggegevens worden aangeroepen.

Wanneer gebruikers bijvoorbeeld op een muziek-app op hun Androidtelefoon willen inloggen, en er wordt gekozen voor inloggen via Facebook of Google, zal de muziek-app de inlogpagina van Facebook of Google via een WebView binnen de app laden. Wanneer de wachtwoordmanager wordt aangeroepen om de inloggegevens automatisch in te vullen, zou dit idealiter in de WebView-pagina moeten gebeuren. De onderzoekers ontdekten dat de autofill-functie onbedoeld de inloggegevens aan de onderliggende app doorgeeft.

Dit zou met name een probleem zijn in het geval van malafide apps, die zo inloggegevens van gebruikers kunnen stelen. Volgens de onderzoekers is de 'AutoSpill' kwetsbaarheid onder andere aanwezig in 1Password, LastPass, Keeper en Enpass. 1Password laat tegenover TechCrunch weten dat het aan een beveiligingsupdate werkt. LastPass zegt dat het gebruikers via een pop-up voor eventuele aanvallen waarschuwt.