Ankit Gangwal del Instituto Internacional de Tecnología de la Información), durante la conferencia Sombrero Negro Europajunto con sus alumnos Shubham Singh y Abhijeet Srivastavadiscutió la vulnerabilidad «Derrame automático»lo que podría provocar que se filtren las credenciales personales de los usuarios de Android.
En particular, los administradores de contraseñas para Android se basan en el componente de software WebView, que le permite incrustar contenido web en una aplicación móvil. Por lo tanto, garantiza un navegador integrado dentro de una aplicación, lo que permite a los desarrolladores ver páginas o contenido de Internet directamente en la interfaz de la aplicación.
Entonces, cuando una aplicación carga una página de inicio de sesión a través de WebView, Es posible que los administradores de contraseñas no reconozcan la ubicación correcta para ingresar información de inicio de sesión previamente guardada por el usuario. En ese sentido, Gangwal aclaró: «Digamos que estás intentando acceder a tu aplicación de música favorita en tu dispositivo móvil y utilizas la opción ‘iniciar sesión a través de Google o Facebook’. La aplicación de música abrirá un inicio de sesión de Google o Facebook. página. Facebook Inside a través de WebView. Cuando se invoca el administrador de contraseñas para autocompletar las credenciales, idealmente, debería autocompletarse solo en la página de Google o Facebook que se cargó. Pero descubrimos que la operación de autocompletar podría exponer accidentalmente las credenciales a la aplicación subyacente». .
Gangwal añadió entonces que Se descubrió que los diez principales administradores de contraseñas para Android eran vulnerables a AutoSpill. Al descubrir la vulnerabilidad, procedieron a ponerse en contacto con todos los responsables de las aplicaciones en cuestión, pero sólo con los de 1contraseña respondieron asegurando una actualización de software. Sin embargo, el riesgo es alto: de hecho, las aplicaciones maliciosas podrían obtener las credenciales de los usuarios, evitando determinadas técnicas informáticas.