Hyderabad, MISTAR.ID

Sejumlah pengelola kata sandi (password manager) seluler yang populer, tanpa sengaja ternyata malah mengungkapkan kredensial pengguna karena adanya kerentanan dalam fungsi isi otomatis aplikasi Android.

Berdasarkan penelitian dari International Institute of Information Technology (IIIT) Hyderabad, kerentanan yang disebut ‘AutoSpill’ ini dapat mengungkapkan kredensial pengguna pada pengelola kata sandi seluler dengan menghindari mekanisme pengisian otomatis Android yang aman.

Baca Juga: Perusahaan Teknologi Kereta Cepat Hyperloop One Ditutup

Para peneliti, yaitu Ankit Gangwal, Shubham Singh, dan Abhijeet Srivastava, menemukan bahwa ketika aplikasi Android memuat halaman login di WebView, pengelola kata sandi dapat ‘bingung’ tentang di mana mereka harus menargetkan informasi login pengguna.

Alhasil, program tersebut malah mengekspos kredensial ke aplikasi dasar.

Ini terjadi karena WebView, yang merupakan mesin bawaan dari Google, memungkinkan pengembang menampilkan konten web dalam aplikasi tanpa membuka browser web. Permintaan isi otomatis kemudian dibuat.

Gangwal menjelaskan dampak dari kerentanan ini, terutama dalam skenario di mana aplikasi dasar bersifat berbahaya.

“Bahkan tanpa phishing, aplikasi jahat apa pun yang meminta Anda masuk melalui situs lain, seperti Google atau Facebook, dapat secara otomatis mengakses informasi sensitif,” katanya, seperti dilansir IndianExprees. (Mtr/hm22)