AutoSpill: Passwortmanager legen unter Android Zugangsdaten offen

Marc Stöckel
47 Kommentare
AutoSpill: Passwortmanager legen unter Android Zugangsdaten offen
Bild: pixabay.com / geralt

Die Autofill-Funktion von Android ist für den Umgang mit Zugangsdaten ein bequemes Werkzeug. Eine kürzlich offengelegte und als AutoSpill bezeichnete Schwachstelle sorgt jedoch im Zusammenhang mit der WebView des Betriebssystems dafür, dass die Daten in die falschen Hände geraten können.

Anmeldung per WebView kann Zugangsdaten offenlegen

Aufgedeckt wurde AutoSpill von Forschern des International Institute of Information Technology (IIIT) Hyderabad im Rahmen der Hackerkonferenz Black Hat Europe 2023. Einige Anwendungen rendern Anmeldeformulare demnach über die Android-WebView – eine Art in das System integrierter Webbrowser, über den Apps intern Webinhalte darstellen können, ohne erst einen separaten Webbrowser öffnen zu müssen.

Das kann beispielsweise dann passieren, wenn ein Nutzer über eine Anwendung wie Skype oder Gmail einen Hyperlink zu einer Login-Seite öffnet oder innerhalb einer beliebigen App von der Möglichkeit Gebrauch macht, sich mit seinem Apple-, Facebook- oder Google-Konto anzumelden. „Bei Auswahl einer solchen Option lädt die Drittanbieter-App die entsprechende Anmeldeseite in WebView“, erklären die Forscher.

Lässt ein Nutzer darin nun per Autofill die Zugangsdaten von seinem Passwortmanager eintragen, so kann unter bestimmten Bedingungen wohl der Fall eintreten, dass die Eingabefelder nicht richtig identifiziert werden. Infolgedessen werden die Anmeldeinformationen stattdessen in Datenfelder der nativen App eingetragen, in der die WebView eingeblendet wurde, sodass Unbefugte potenziell Zugriff darauf erhalten.

Viele gängige Passwortmanager angreifbar

Innerhalb einer vertrauenswürdigen App mag das zunächst nicht allzu kritisch erscheinen, da diese die Daten wohl kaum gezielt abgreifen und verarbeiten wird. Spätestens bei einer bösartigen Anwendung von einem Entwickler, der sich des Problems bewusst ist, bietet AutoSpill aber ein enormes Missbrauchspotenzial. Gegenüber Techcrunch erklärte einer der Forscher, jede bösartige App könne damit sensible Informationen abgreifen, indem sie den Nutzer lediglich dazu auffordere, „sich über eine andere Webseite wie Google oder Facebook anzumelden“. Gezieltes Phishing sei dafür nicht erforderlich.

Die Forscher haben die Schwachstelle mit mehreren Android-Geräten mit den Systemversionen 10, 11 und 12 getestet, wie ab Folie 55 ihrer Black-Hat-Präsentation (PDF) zu sehen ist. Die Tests umfassten mehrere gängige Passwortmanager wie 1Password, Lastpass, Enpass, Keeper und Keepass2Android. Bei den meisten davon ließen sich die Zugangsdaten selbst ohne Javascript-Support abgreifen. Mit aktivem Javascript-Support waren sogar durchweg alle Passwortmanager anfällig für AutoSpill.

Gemischte Reaktionen von den Entwicklern

Die Sicherheitsforscher behaupten, die Anbieter der anfälligen Passwortmanager sowie das Android-Sicherheitsteam über ihre Entdeckungen informiert zu haben. Auch Techcrunch hat Stellungnahmen erbeten und dabei gemischte Rückmeldungen von den Entwicklern erhalten.

Ein Lastpass-Sprecher habe demnach erklärt, man habe zur Vorbeugung bereits eine Pop-up-Warnung implementiert, die den Nutzer auf eine mögliche Ausnutzung von AutoSpill hinweise. 1Password habe ferner bestätigt, bereits an einem Fix zu arbeiten, der Anwendern einen zusätzlichen Schutz biete, indem er verhindere, „dass native Felder mit Anmeldedaten gefüllt werden, die nur für die WebView von Android bestimmt sind“.

Etwas anders fiel hingegen die Reaktion des Keeper-CTO aus. Dieser habe die Informationen zu AutoSpill zwar nur Kenntnis genommen, statt Abhilfemaßnahmen anzukündigen jedoch auf Google verwiesen. Die Schwachstelle beziehe sich speziell auf die Android-Plattform, so das Argument. Google selbst hat sich Techcrunch gegenüber angeblich bisher gar nicht zu AutoSpill geäußert. Gegenüber den Forschern habe der Konzern aber bestätigt, dass es sich um ein relevantes Problem handle.

Ob ein vergleichbarer Angriff auch unter iOS möglich ist, ist bisher unklar, soll aber nach Angaben der Forscher noch untersucht werden.