Black Hat Europe分享 | AutoSpill攻击可窃取安卓密码管理器中密码
💡
原文中文,约2100字,阅读约需5分钟。
📝
内容提要
安全研究人员发现了一种名为AutoSpill的新型攻击,可以在安卓设备上窃取账户凭证。研究人员发现,大多数安卓密码管理器容易受到该攻击。攻击源于安卓未能强制执行对自动填充数据进行安全处理的责任。研究人员已向受影响的软件供应商和安卓安全团队报告了这一问题,并提出了解决建议。
🎯
关键要点
- 安全研究人员发现了一种名为AutoSpill的新型攻击,能够在安卓设备上窃取账户凭证。
- 大多数安卓密码管理器容易受到AutoSpill攻击,即使没有JavaScript注入。
- AutoSpill攻击利用安卓应用程序中的WebView控件进行自动填充操作,存在安全隐患。
- 研究人员测试了多个主流密码管理器,发现它们因使用安卓的自动填充框架而容易受到攻击。
- Google Smart Lock和DashLane采取了不同技术手段,避免了AutoSpill攻击。
- 研究人员已向受影响的软件供应商和安卓安全团队报告了问题,并提出了解决建议。
- 1Password和LastPass等密码管理器正在处理AutoSpill的修复方案。
- 谷歌建议第三方密码管理器对密码输入位置保持敏感,并实施WebView的最佳实践。
➡️
