Forscher des IIIT in Hyderabad präsentierten auf der Sicherheitskonferenz Black Hat Europe und enthüllten, dass die meisten Android-Passwortmanager anfällig für den AutoSpill-Hacking-Angriff sind. Dieser Angriff ermöglicht es bösartigen Apps, beim automatischen Ausfüllen Benutzerdaten zu stehlen, auch ohne JavaScript-Injektion. Die Sicherheitslücke ist auf das Fehlen klarer Richtlinien für den Umgang mit automatisch ausgefüllten Daten bei Android zurückzuführen, was Spielraum für das Abfangen lässt. Mehrere beliebte Passwort-Manager, darunter 1Password, LastPass und Keeper, erwiesen sich als anfällig. Google Smart Lock und DashLane, die einen anderen Autofill-Ansatz verwenden, haben jedoch keine Daten verloren, es sei denn, es wurde JavaScript-Injection verwendet.
Hacker: Forscher des IIIT-Hyderabad zeigen, wie Hacker Kontodaten über Android-Passwortmanager stehlen können, antwortet Google
