Исследователям безопасности удалось получить доступ к данным менеджеров паролей с помощью недавно разработанной атаки. Атака использует функцию автозаполнения на Android, поэтому для нее выбрали соответствующее название AutoSpill.

Презентация на конференции Black Hat Europe показала, что почти все менеджеры паролей в мобильной операционной системе Google уязвимы к AutoSpill.

Исследователи пользуются тем, что для входа в систему часто используется WebView. Вместо перенаправления в браузере в приложении открывается сайт с маской входа. Затем менеджер паролей автоматически заполняет данные для входа.
Именно здесь AutoSpill может получить доступ к данным. Предположим, вредоносное приложение загружает экран входа в WebView, который предлагает войти в систему с учетной записью Google, Microsoft или Apple. Затем ведущее приложение могло бы использовать AutoSpill для записи того, что пользователи вводят в форму входа. Менеджеры паролей Keeper, Keepass2Android, Enpass, LastPass и 1Password оказались уязвимы.
Поскольку и Google Smart Lock, и Dashlane выбрали другой метод заполнения форм входа, утечки данных не произошло. Однако только в том случае, если JavaScript не запущен.
Исследователи также разработали решение проблемы. 1Password и LastPass сообщили, что устранят бреши в безопасности с помощью обновления. В Keeper Security отметили, что это проблема, специфичная для Google, и что пользователям следует соблюдать осторожность и не устанавливать вредоносное ПО. Имеется предупреждение о вводе конфиденциальной информации на подозрительном сайте.