Менеджеры паролей могут выдать вашу личную информацию хакерам: что следует знать

Опасную уязвимость нашли в таких популярных программах, как 1Password, LastPass, Keeper и Enpass. Некоторые популярные менеджеры паролей непреднамеренно разглашают учетные данные пользователей из-за уязвимости в функции автозаполнения приложений Android, сообщает Techcrunch. К такому выводу пришли эксперты по кибербезопасности из IIIT Hyderabad.

Издание пишет, что уязвимость AutoSpill может раскрыть учетные данные пользователей, которые хранят менеджеры паролей, обойдя защиту функции автозаполнения Android. Специалисты из IIIT Hyderabad обнаружили, что когда приложение Android загружает страницу входа в WebView, менеджеры паролей могут "дезориентироваться" в том, куда им следует направить данные для входа пользователя, и тем самым раскрыть учетные данные. Это связано с тем, что WebView, предустановленный движок от Google, позволяет разработчикам отображать веб-контент в приложении без запуска браузера, при этом генерируется запрос автозаполнения.

"Предположим, вы пытаетесь войти в музыкальное приложение на своем мобильном устройстве и используете опцию "вход через Google или Facebook". Музыкальное приложение откроет внутри себя страницу входа в Google или Facebook через WebView. Когда менеджер паролей активируется для автозаполнения учетных данных, в идеале он должен автоматически заполнять только загруженную страницу Google или Facebook.

Но мы обнаружили, что операция автозаполнения может случайно раскрыть учетные данные базовому приложению", — говорят в IIIT Hyderabad. Если базовое приложение является вредоносным, то хакеры легко могут получить доступ к конфиденциальной информации. Исследователи протестировали уязвимость AutoSpill, используя некоторые популярные менеджеры паролей, включая 1Password, LastPass, Keeper и