Em um estudo, estudantes da Universidade de Hannover descobriram que os agentes de senha em smartphones Android não são seguros. Os pesquisadores encontraram 13 vulnerabilidades de senha em um Nexus Galaxy rodando Android 4.0. Descobriram ainda que o desenvolvimento de senhas realmente seguras, não é um trabalho "simples" a ser realizado.

As regras para os agentes de senha em smartphones diferem daquelas criadas para desktops. Ao contrário do desktop, o agente de senha do smartphone são incapazes de trabalhar diretamente com o navegador. Como o Android não fornece uma API para integrar os agentes de senha em navegadores ou aplicativos, os desenvolvedores utilizam uma solução alternativa insegura, que usam á área de transferência do sistema operacional para entregar as credenciais de login para o navegador e aplicativos.

Os usuários podem utilizar a área de transferência para copiar as credenciais de login dos administradores de senha e colá-los em aplicativos ou no navegador, isso representa um enorme problema, já que a área de transferência é um recurso global, que pode ser acessado por qualquer aplicativo sem necessidade de permissões específicas. Há ainda um problema maior, um serviço de notificação de todo o sistema permite que aplicativos sejam notificados, e avisar todas as alterações de conteúdo realizadas na área de transferência:

android.content.ClipboardManager.OnPrimaryClipChangedListener
Isto pode ser explorado por malwares para "escutar" todas as senhas transferidas através da área de transferência.

Os pesquisadores desenvolveram um programa demo, PWSniff, que implementou precisamente essa funcionalidade. O PWSniff é executado como um processo em segundo plano e não requer quaisquer permissões. O programa realiza uma busca em todos os dados do smartphone.Os desenvolvedores de malware devem colocá-los na mesma combinação da área de transferência, para capturar as credenciais.