近日,IIIT Hyderabad 的安全专家在 Black Hat Europe 大会上披露了一项安卓系统自动填充功能中的漏洞。该漏洞名为“AutoSpill”,其原理是绕过了安卓系统的安全自动填充机制,从而导致存储的密码等敏感信息意外泄露。
据了解,当安卓应用程序加载登录页面时,密码管理器无法准确地定位用户所需输入登录信息的框口,因此在底层应用中暴露了原生字段。研究人员 Ankit Gangwal 解释说,在合法使用 Google 或 Facebook 账号进行应用程序登录的情况下,攻击者仍然可以窃取用户的账号信息。
测试发现主流密码管理器如1Password、LastPass、Keeper和Enpass等均存在这个漏洞,即使禁用了JavaScript注入,该漏洞仍会发挥作用。
对于此次发现的漏洞,1Password首席技术官Pedro Canahuati表示公司已经确定并正在努力修复它。他说:“虽然修复将进一步加强我们的安全态势,但1Password的自动填充功能旨在要求用户采取明确的行动。此更新将通过防止本机字段填充仅适用于Android的WebView的凭据来提供额外保护。”
Keeper的首席技术官Craig Lurey也表示该公司已收到有关潜在漏洞的通知,但他并未提及是否进行过任何修复。
本文属于原创文章,如若转载,请注明来源:密码管理器意外泄露:安卓系统自动填充功能中的漏洞!https://news.zol.com.cn/845/8457644.html
