Uma equipe de pesquisadores de segurança cibernética descobriu uma falha de segurança que ameaça usuários de gerenciadores de senhas no Android. Durante uma apresentação na conferência Black Hat Europe, especialistas da IIIT Hyderabad explicaram o que é e como funciona a nova vulnerabilidade chamada de “AutoSpill”.

Um trocadilho com o termo “autofill” (“preenchimento automático”, em tradução livre), o AutoSpill permite que aplicativos maliciosos tenham acesso aos dados pessoais dos usuários que utilizam gerenciadores de senhas. O problema está na interação dessas ferramentas com o WebView, um motor de navegação web pré-instalado no Android.

Ao fazer login em um aplicativo, é comum que o usuário se depare com opções de autenticação com o Google, Facebook e outras plataformas. Selecionar uma dessas opções faz com que o aplicativo invoque o WebView, que funciona como uma espécie de navegador “compacto” que exibe páginas da web sem precisar sair do aplicativo.

“Quando o gerenciador de senhas é chamado para preencher as credenciais automaticamente, o ideal é que ele preencha somente na página carregada do Google ou Facebook”, explica Ankit Gangwal, pesquisador da IIIT Hyderabad. “Mas descobrimos que o preenchimento automático poderia expor acidentalmente as credenciais ao aplicativo base”.

Isso significa que os dados pessoais armazenados no gerenciador de senhas podem ser visualizados pelo aplicativo em questão. Essa falha se torna um grande problema nos casos em que o aplicativo que chama o gerenciador de senhas é um malware.

“Mesmo sem phishing, qualquer aplicativo malicioso que peça para você fazer login por meio de outro site, como Google ou Facebook, pode acessar automaticamente suas informações confidenciais”, alerta Gangwal.

Os pesquisadores testaram o AutoSpill utilizando alguns dos gerenciadores de senhas mais populares do mercado, incluindo 1Password, LastPass e Keeper. Para a prova de conceito, foram utilizados diferentes aparelhos com versões distintas do Android. Alguns executavam versões antigas do sistema operacional. Confira:

• Pocophone F1 (Android 10, patch de segurança de dezembro de 2020)
• Samsung Galaxy Tab S6 Lite (Android 11, patch de segurança de janeiro de 2022)
• Samsung Galaxy A52 (Android 12, patch de segurança de abril de 2022)

Conforme descoberto pelos pesquisadores, a maioria dos aplicativos de gerenciamento de senhas estava vulnerável ao vazamento de credenciais, mesmo ao desativar a injeção de JavaScript. Quando esse mecanismo estava ativado, todos os gerenciadores de senhas analisados ficaram suscetíveis ao AutoSpill.

Gangwal alertou o Google e os desenvolvedores dos gerenciadores de senhas afetados sobre a falha. Representantes do 1Password e Keeper afirmam que as devidas correções já estão a caminho. Em nota enviada ao TechCrunch, o LastPass afirma ter uma mitigação em vigor que alerta o usuário quando um aplicativo tenta explorar a brecha.

Os pesquisadores agora dedicarão seus esforços para verificar se a vulnerabilidade também afeta os usuários do iOS.