Black Hat Europe 2023
AutoSpill: Angriff auf Android-Passwortmanager
Sicherheitsforschern ist es gelungen, beliebte Passwortmanager auf ungewöhnliche Weise zu knacken. Die Software gab die Passwörter gewissermaßen "freiwillig" heraus.
Auf der derzeit stattfindenden Sicherheitskonferenz Black Hat Europe 2023 haben Forscher eine Möglichkeit präsentiert, wie Passwortmanager ausgehebelt werden können. Wie das Portal Bleeping Computer berichtet, wird mithilfe des "AutoSpill"-Angriffs eine Schwachstelle im WebView-Modul vo...
Auf der derzeit stattfindenden Sicherheitskonferenz Black Hat Europe 2023 haben Forscher eine Möglichkeit präsentiert, wie Passwortmanager ausgehebelt werden können. Wie das Portal Bleeping Computer berichtet, wird mithilfe des "AutoSpill"-Angriffs eine Schwachstelle im WebView-Modul von Android ausgenutzt.
Dieses dient in der Regel zur Eingabe von Passwörtern innerhalb von Apps und kann unter anderem mithilfe der Autofill-Funktion Log-in-Daten automatisch eingeben. AutoSpill macht sich allerdings zunutze, dass die eingegebenen Daten anstelle der WebView-Felder in die darunterliegende App platziert werden und fängt diese dadurch ab. Dies kann auch geschehen, wenn Javascript nicht aktiviert ist.
Damit handelt es sich bei AutoSpill um keinen klassischen Phishing-Angriff, bei dem eine gefälschte Webseite Sicherheit vorgaukelt - schließlich werden hier ausschließlich die "echten" Log-in-Seiten der jeweiligen Anwendung genutzt. Betroffen sind nahezu alle gängigen Passwortmanager wie Lastpass, Keepass oder das Google-eigene Smart Lock. Als angreifbare Android-Versionen werden Android 12 und älter erklärt, eine Lösung gibt es für Nutzer hier bisher außerhalb des Updates auf aktuellere OS-Versionen nicht.
