Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Schwachstelle AutoSpill offenbart Nutzerdaten über Android WebView

- Warnmeldung

Die CSBW warnt vor einer als AutoSpill bezeichneten Schwachstelle in Verbindung mit Android WebView und der Funktion Autofill von Passwortmanagern. Sicherheitsforschern gelang bereits die mehrfache Ausnutzung der Sicherheitslücke. Google sowie Hersteller von Passwortmanagern arbeiten an Patches.
Mensch arbeitet an Endgeräten und Login-Fenster ist halbtransparent über Smartphone platziert.

© Adobe Stock

Zugangsdaten durch AutoSpill einsehbar

Über die Sicherheitslücke AutoSpill in Kombination mit Android WebView und der Funktion Autofill können Daten ausgespäht werden. 

  • WebView ist eine in Android integrierte Ansicht, mit der Apps Web-Inhalte anzeigen können, ohne dafür extra einen Webbrowser zu öffnen.
  • Autofill ist eine Funktion von Passwortmanagern, die gespeicherte Zugangsdaten, wie Anmeldename und Passwort, automatisch in die jeweiligen Felder einträgt.

Die Schwachstelle in WebView ermöglicht, dass Autofill Zugangsdaten nicht in die vorgesehenen Felder einträgt. Stattdessen werden die Daten in der Ausgangs-App abgelegt, von der aus ein Nutzer Web-Inhalte mit WebView aufgerufen hat.

Problematisch ist dieser Vorgang dann, wenn die Ausgangs-App mit Malware infiziert bzw. von Dritten übernommen ist. Sobald Anwendende aus einer präparierten App heraus Zugangsdaten in der WebView-Ansicht per Autofill eingeben lassen, können diese Daten in der infizierten App problemlos ausgelesen werden. Damit Dritte die AutoSpill-Schwachstelle ausnutzen können, müssen Anwendende jedoch zuerst eine maliziöse App installieren. Nur dann ist das beschriebene Vorgehen möglich.

Fallbeispiel zur besseren Veranschaulichung

Sie haben eine E-Mail von einem Vergleichsportal bekommen. Sie haben die E-Mail erwartet und öffnen diese in der Mail-App Ihres Android Smartphones. Die Mail enthält einen Link, der Sie auf die Anmeldeseite des Vergleichsportals leitet. Wenn Sie auf den Link klicken, dann ruft die Mail-App die Anmeldeseite in WebView auf.

Da Sie Ihre Zugangsdaten für das Portal vorher in einem Passwortmanager gespeichert hatten, tippen Sie in das erste Anmeldefeld und lassen Ihre Daten über Autofill automatisch in die jeweiligen Felder eintragen. Was Sie jedoch nicht wissen: Die Mail-App wurde so verändert, dass diese die Schwachstelle AutoSpill ausnutzt. Deshalb werden Ihre Zugangsdaten in der präparierten Mail-App abgelegt, auf die die Täter zugreifen können.

Sicherheitsforscher nutzen AutoSpill mehrfach aus

Das geschilderte Szenario wurde erstmals von Sicherheitsforschern des International Institute of Information Technology (IIIT) Hyderabad mit den Android-Versionen 10, 11 und 12 sowie verschiedenen Passwortmanagern getestet.

Getestete potenziell betroffene Passwortmanager

  • 1Password, Version 7.9.4
  • LastPass, Version 5.11.0.9519
  • Enpass, Version 6.8.2.666
  • Keeper, Version 16.4.3.1048
  • Keepass2Android, Version 1.09c-r0
  • Google Smart Lock, Version 13.30.8.26
  • DashLane, Version 6.2221.3

Mit aktiviertem Javascript konnten die Sicherheitsforscher bei allen genannten Passwortmanagern die Schwachstelle ausnutzen, ohne aktiviertes Javascript zumindest bei den meisten.

Bewertung und Maßnahmen

AutoSpill ist eine ernstzunehmende Schwachstelle, die es maliziösen Apps ermöglicht, Zugangsdaten von einem Passwortmanager zu erlangen, wenn auch Autofill genutzt wird. Da Anwendern generell empfohlen wird, Passwortmanager zur Erstellung und Verwahrung sicherer Passwörter zu verwenden, eröffnet AutoSpill eine unerwartete, neue Angriffsmöglichkeit.

Google sowie die Entwickler einiger Passwortmanager arbeiten, laut eigenen Aussagen, bereits an Updates, um AutoSpill zu beheben bzw. zu verhindern.

Handlungsempfehlungen der CSBW

Um die AutoSpill-Sicherheitslücke zu beheben oder zumindest die Risiken zu minimieren, beachten Sie folgende Empfehlungen:

  • Prüfen Sie regelmäßig, ob ein Update zu Android WebView oder sonstigen von AutoSpill betroffenen Android-Funktionen von Google veröffentlicht wurde. Installieren Sie diese Updates schnellstmöglich.
  • Prüfen Sie regelmäßig, ob ein Update für Ihren Passwortmanager zur AutoSpill-Sicherheitslücke vorliegt und installieren Sie dieses umgehend.
  • Wenn für Ihren Passwortmanager oder Ihre Android-Version noch kein Update existiert, dann geben Sie Ihre Zugangsdaten immer manuell ein. Zusätzlich sollten Sie die Autofill-Funktion in Android deaktivieren.
  • Aktualisieren Sie alle Apps regelmäßig und richten Sie automatische Updates für Ihr Gerät ein.
  • Prüfen Sie, welche Apps auf sensible Informationen zugreifen dürfen.
  • Installieren Sie nur Apps von namhaften Entwicklern und aus vertrauenswürdigen Quellen wie dem Google Play Store.
  • Aktivieren Sie im Google Play Store Play Protect, das Apps auf Anzeichen maliziöser Aktivitäten prüft.
  • Gehen Sie umsichtig mit den Anmeldeseiten in WebView um.
  • Halten Sie die Software Ihres mobilen Endgeräts auf dem aktuellen Stand.
  • Verwenden Sie Multi-Faktor-Authentifizierung (MFA).
  • Aktivieren Sie ein Virenschutzprogramm.

Weitere Informationen