可泄露用戶敏感信息，安卓漏洞 AutoSpill 曝光：多款密碼管理器應(yīng)用受影響

IT之家 12 月 8 日消息，網(wǎng)絡(luò)安全公司 IIIT Hyderabad 的安全專家近日出席 Black Hat Europe 大會(huì)，披露了存在于安卓系統(tǒng)自動(dòng)填充功能中的漏洞，會(huì)意外泄露用戶的密碼信息。

專家命名該漏洞為“AutoSpill”，發(fā)現(xiàn)該漏洞可以繞過(guò)安卓系統(tǒng)的安全自動(dòng)填充機(jī)制，從而暴露存儲(chǔ)的密碼等敏感信息。

安卓應(yīng)用在 WebView 中加載登錄頁(yè)面后，密碼管理器無(wú)法準(zhǔn)確定位用戶需要在哪個(gè)框內(nèi)輸入登錄信息，從而在底層應(yīng)用中暴露原生字段。

研究人員 Ankit Gangwal 解釋稱，在應(yīng)用程序中通過(guò) Google 或 Facebook 賬號(hào)合法登錄，攻擊者可以利用該漏洞，依然可以竊取用戶的賬號(hào)信息。

該團(tuán)隊(duì)測(cè)試了包括 1Password、LastPass、Keeper 和 Enpass 在內(nèi)的主流密碼管理器，發(fā)現(xiàn)其均存在該漏洞，即使禁用了 JavaScript 注入，漏洞仍然存在。

1Password 首席技術(shù)官 Pedro Canahuati 告訴 TechCrunch，該公司已經(jīng)確定并正在努力修復(fù) AutoSpill。Canahuati 表示：

雖然修復(fù)將進(jìn)一步加強(qiáng)我們的安全態(tài)勢(shì)，但 1Password 的自動(dòng)填充功能旨在要求用戶采取明確的行動(dòng)。此更新將通過(guò)防止本機(jī)字段填充僅適用于 Android 的 WebView 的憑據(jù)來(lái)提供額外的保護(hù)。

Keeper 首席技術(shù)官克雷格?盧里 （Craig Lurey） 在與 TechCrunch 分享的講話中表示，該公司已收到有關(guān)潛在漏洞的通知，但沒(méi)有說(shuō)明是否進(jìn)行了任何修復(fù)。

IT之家附上該漏洞的詳細(xì)論文地址，感興趣的用戶可以深入閱讀。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。