Jelentős sérülékenységre bukkantak biztonsági kutatók az Androidban: az AutoSpill nevű sebezhetőséget kihasználva gyakorlatilag bármilyen, jelszókezelőkből származó bejelentkezési adatot el tudnak lopni a rosszindulatú felek, miközben valaki az automatikus kitöltést használja.

A problémát egy Black Hat Europe biztonsági konferencián prezentálták az International Institute of Information Technology (IIIT) kutatói. A megállapításaik pedig nem túl bíztatóak: a legtöbb androidos jelszókezelő program sebezhető vele.

A hiba a WebView nevű keretrendszerben van. Ez, bár a legtöbbeknek nem mond sokat, mégis szinte mindenki használja: amikor egy alkalmazásban felugrik egy böngészőablak, például annak érdekében, hogy belépjünk az adott szolgáltatásba, akkor ez tölti be a kért weboldalt.

Ez egy kényelmesebb megoldás, mintha a telefonunk minden ilyen esetben átugrana az alapértelmezett böngészőbe, de a jelek szerint sebezhető is.

A Nagy Testvér még ezt is látja: a mobilján felugró összes értesítést megfigyelhetik a kormányok

Gyakorlatilag bármit megfigyelhetnek a kormányzatok a mobilos értesítéseinken keresztül - és ez úgy tűnik, nem is csak egy elmélet.

Mint a Bleeping Computer írja, a legtöbb, Androidon működő jelszókezelő a WebViewt használja, amikor a felhasználó be szeretne jelentkezni egy szolgáltatásba, és élne az automatikus kitöltés lehetőségével.

A folyamat során azonban – kihasználva a sebezhetőséget – megszerezhetők lehetnek a kitöltött adatok, így a felhasználónév-jelszó páros is. Mindez szinte minden androidos jelszókezelővel kihasználható lehet.

A szakemberek már tájékoztatták a jelszókezelők fejlesztőit, valamint az Android biztonsági csapatát a hibáról, sőt, azt is elküldték, hogy hogyan lehetne megoldani azt. A kutatók jelentését valósnak minősítették, de arra vonatkozóan nem osztottak meg terveket, hogy miként tervezik javítani a sérülékenységet.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.