AutoSpill-Sicherheitslücke bei Android: heylogin ist nicht betroffen
Auf der diesjährigen BlackHat Europe Hacker-Konferenz wurde die sogenannte “AutoSpill”-Sicherheitslücke vorgestellt. Diese betrifft Nutzer*innen von Android-Geräten, wie unter anderem auf heise.de berichtet wird. Bei der Schwachstelle wird die Autofill-Funktion, also das automatische Ausfüllen von Passwörtern, ausgenutzt und hat das Potential, die Sicherheit und Privatsphäre von Millionen von Menschen zu gefährden.
Was ist AutoSpill?
Wie schon erwähnt betrifft die Sicherheitslücke die Autofill-Funktion von Android. Diese Funktion ermöglicht es Nutzer*innen, ihre Anmeldeinformationen automatisch in in die Anmeldeformulare einzutragen und so den Login-Prozess zu beschleunigen und zu vereinfachen.
Die Lücke erlaubt es dabei einer bösartigen App, Anmeldeinformationen unter gewissen Umständen abzufangen. Dies passiert für Anmeldungen, die innerhalb der App für einen anderen Dienst durchgeführt werden, wie beispielsweise Paypal oder Microsoft. Eine solche Anmeldung sollte der App selbst nicht direkt zur Verfügung stehen, sondern nur die entsprechende Funktionalität des Dienstes.
Ein Szenario könnte beispielsweise eine Lieferdienst-App sein, in der man mit PayPal bezahlen kann. Wenn ein*e Nutzer*in versucht, sich über Autofill in das eigene PayPal-Konto einzuloggen, könnte die bösartige App diese Daten abfangen und an einen entfernten Server senden.
heylogin ist nicht betroffen
Auch heylogin unterstützt die Autofill-Funktion unter Android und war somit potentiell von der Sicherheitslücke betroffen.
Wir konnten allerdings sicherstellen: heylogin ist von der AutoSpill-Lücke nicht betroffen.
Der Grund dafür liegt in der Art und Weise, wie heylogin Anmeldeinformationen beim automatischen Ausfüllen handhabt. Wir stellen sicher, dass die Daten ausschließlich in die richtigen Felder der entsprechenden Plattform eingetragen werden. Die zusätzlichen Formulare bösartiger Apps werden übergangen. So sind unsere Nutzer*innen effektiv vor der Sicherheitslücke geschützt, da die Anmeldedaten nicht abgefangen werden können.
Zur Überprüfung haben wir das Paper durchgearbeitet und die Methode mit unserer Autofill-Implementierung abgeglichen. Dabei stellten wir erfreulicherweise fest, dass unser Code das Szenario bereits bedenkt und die Logindaten nur in die richtigen Felder einträgt. Um dieses Ergebnis zu verifizieren, haben unsere Entwickler außerdem eine simple Test-App gebaut, um die Sicherheitslücke “live” zu testen. Auch hier wurde bestätigt, dass heylogin alle Daten nur in die richtigen Felder einträgt. Unsere Nutzer*innen sind also weiterhin optimal geschützt.