Wachtwoordmanagers op Android die inloggegevens helpen invullen bij ‘autofill’, doen dat niet veilig. Wanneer je een formulier invult en een wachtwoordmanager met de suggestie komt om vast wat gegevens in te vullen, dan blijkt dat je gegevens helemaal niet goed worden afgeschermd.
Black Hat
Indiase onderzoekers hebben dit ontdekt bij een test. Het heeft te maken met een soort fundering binnen Android, waardoor het niet een probleem is dat slechts aan een wachtwoordmanager toebehoort, maar juist aan allemaal. De onderzoekers gaven de kwetsbaarheid die ze vonden in die fundering de naam ‘AutoSpill’ en ze presenteerden het tijdens de bijeenkomst Black Hat Europe. Er werd duidelijk getoond hoe een Android-gebruiker inlogt via een app en dan de optie krijgt om dat te doen via een pagina van de browser. Daar krijgen ze dan de optie om via de wachtwoordmanager de autofill-functie te gebruiken, maar die inloggegevens worden vervolgens dan ook gedeeld met de app.
Dus de gegevens zie jij als gebruiker ingevuld worden op een webpagina, maar die worden aan de achterkant dus wel naar die app gestuurd en dat is niet veilig. Kwaadaardige appmakers zullen hierdoor de inloggegevens kunnen misbruiken. De kwetsbaarheid is bovendien nogal wijd verspreid: het zit in de fundering van Android 10, 11 én 12. Het is bovendien gespot in LastPass, Keeper, Enpass, 1Password en Keepass2Android. Deze bedrijven zijn allemaal op de hoogte gebracht van de problemen.
Autofill niet veilig
Het is voor jou als gebruiker goed om je te realiseren dat dit gebeurt en dus misschien zo min mogelijk gebruik te maken van autofill, zolang dit probleem bestaat. Helemaal nu het openbaar is, wordt het waarschijnlijk nog meer misbruikt. Het is de vraag of de bedrijven er zelf iets aan kunnen doen, of dat dit toch iets is dat echt binnen Android zelf moet worden gefikst. In ieder geval moet er wel iets gebeuren, want er gaat soms veel persoonlijke informatie in zo’n auto-invulmethode zitten.
Reacties
Inloggen of registreren
om een reactie achter te laten
Een wachtwoordmanager die zorgt voor sterke wachtwoorden die bovendien voor elke app/website verschillend zijn, blijft veiliger dan overal dezelfde inloggegevens gebruiken of het bijhouden in een Excelletje.
Belangrijke diensten hoor je sowieso te combineren met 2FA dus laat dit absoluut geen reden zijn om te stoppen met wachtwoordmanagers!
Ik heb nog nooit zo’n automatische invulfunctie gebruikt en ook zo’n wachtwoordmanager heb ik nog niet ingesteld, het is net alsof ik het al wist dat dit niet 100% veilig is.