Менеджеры паролей для Android содержат опасную уязвимость

Уязвимость была выявлена в процессе изучения хакерской атаки Autospill. Мошенникам удалось перехватить персональные данные жертв в тот момент, когда программы-менеджеры выполняли свою прямую функцию — автоматически вносили пароли в соответствующие формы.

Инструменты, запоминающие пароли и позволяющие владельцу Android не указывать их заново при входе в аккаунты, считаются довольно популярными. Исследования показали, что наиболее подвержены утечкам самые востребованные менеджеры — 1Password, LastPass, Enpass и Keeper. В меньшей степени уязвимы Google Smart Lock и DashLane, однако и они не устояли против атаки Autospill, усиленной с помощью JavaScript. 

Поставщики Android и менеджеров получили сообщение об атаке. Представители 1Password уведомили клиентов о старте работ, нацеленных на устранение уязвимости. Разработчики LastPass внедрили защитный механизм в виде оповещения пользователей о том, что третье лицо пытается перехватить данные.

Эксперты из Keeper отметили, что для использования ошибки хакерам необходимо предварительно внедрить в Android-устройство вредонос, поэтому Google Play стоит повысить эффективность модерации в интересах безопасности клиентов.