蓝点网
·
研究人员在黑帽大会上公布安卓多款密码管理器任意填充泄露密码漏洞
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
印度海得拉巴大学的研究人员在Black Hat黑帽大会上发现了Android平台上的密码管理器缺陷,可能导致1Password、LastPass、Keeper、Enpass等密码管理器泄露用户密码。这个漏洞被称为AutoSpill,研究人员已向谷歌和密码管理器开发商报告,并得到回应。修复正在进行中。
🎯
关键要点
- 印度海得拉巴大学的研究人员在Black Hat黑帽大会上发现了Android平台上的密码管理器缺陷。
- 该漏洞被称为AutoSpill,可能导致1Password、LastPass、Keeper、Enpass等密码管理器泄露用户密码。
- 研究人员发现,当Android应用在WebView中加载登录页面时,密码管理器会将凭据暴露给底层应用程序。
- 谷歌的WebView组件允许第三方开发者在应用程序内部调用WebView显示内容,导致密码管理器的自动填充功能出现问题。
- 研究人员测试了多款密码管理器,发现如果启用了JavaScript注入,所有密码管理器都受影响。
- 研究人员已将问题通报给谷歌及密码管理器开发商,开发商们表示会加强安全防御措施。
- 1Password、Keeper和LastPass等开发商已开始研究修复方案,并采取措施防止凭据自动填充到不受信任的应用程序。
- 谷歌和Enpass尚未对此事发布回应,研究人员还在测试iOS平台是否存在类似漏洞。
➡️
