Combien de souci devrions-nous nous faire du fuite de credential « AutoSpill » dans les gestionnaires de mot de passe Android?

À ce stade, vous avez probablement entendu parler d’une vulnérabilité nommée AutoSpill, qui peut fuiter des informations d’identification à partir de l’un des sept principaux gestionnaires de mots de passe pour Android. La menace qu’elle représente est réelle, mais elle est également plus limitée et plus facile à contenir que la couverture médiatique à ce jour ne l’a reconnu. Cette FAQ plonge dans les nombreuses nuances qui rendent AutoSpill difficile à comprendre pour la plupart des gens (dont moi-même). Ce message n’aurait pas été possible sans l’aide précieuse d’Alesandro Ortiz, un chercheur qui a découvert une vulnérabilité Android similaire en 2020. Question : Qu’est-ce qu’AutoSpill ? Réponse : Si la plupart des reportages sur AutoSpill ont décrit cela comme une attaque, il est plus utile de le considérer comme un ensemble de comportements dangereux qui peuvent se produire à l’intérieur du système d’exploitation Android lorsqu’une information d’identification stockée dans un gestionnaire de mots de passe est remplie automatiquement dans une application installée sur l’appareil. Ce comportement dangereux expose les informations d’identification qui sont remplies automatiquement à l’application tierce, qui peut être n’importe quel type d’application, du moment qu’elle accepte des informations d’identification pour connecter l’utilisateur à un compte. Les gestionnaires de mots de passe touchés de une manière ou d’une autre incluent 1Password, LastPass, Enpass, Keepass2Android et Keeper. D’autres gestionnaires de mots de passe peuvent également être affectés, car les chercheurs qui ont identifié AutoSpill ont limité leur requête à seulement sept titres. Les deux Google Smart Lock et Dashlane sont vulnérables à une attaque similaire impliquant l’injection de JavaScript qui seront discutés plus tard.