Notebookcheck Logo

Android 密码管理器的 AutoSpill 漏洞暴露了登录数据

一个新的安全漏洞使Android 下的密码管理器应用程序面临风险(图片:Dan Nelson/Unsplash)。
一个新的安全漏洞使Android 下的密码管理器应用程序面临风险(图片:Dan Nelson/Unsplash)。
在Android 设备上使用密码管理器的自动填充功能输入密码存在安全漏洞。恶意程序可以使用 WebView 模块偷窥输入的登录信息。
Android Security Software

Black Hat Europe 2023安全会议上,来自印度信息技术学院的研究人员提出了一个名为 "AutoSpill "的新漏洞。由于Android WebView 模块(该模块基于 Chrome 浏览器,用于在应用程序中输入密码)存在漏洞,恶意应用程序理论上可以神不知鬼不觉地访问密码管理器中的数据。

如果密码管理器使用自动填充功能自动输入访问数据,登录数据就会插入 WebView 中底层应用程序的数据字段,而不是网站。在这种情况下,应用程序本身只需读取登录数据,而实际上这些数据只需插入 WebView 中的登录页面即可。

这就意味着这里不需要进行网络钓鱼,即显示一个带有用户名和密码字段的虚假网站,而是显示互联网服务的真实登录页面。该安全漏洞已通过使用Android 自带的谷歌智能锁以及第三方应用程序 1Password、Dashlane、Enpass、LastPass、Keepass2Android 和 Keeper 的密码管理器进行了测试。

研究人员称自动溢出 "漏洞出现在Android 10、11 和 12 版本中,即使所有密码管理器(Google Smart Lock 和 Dashlane 除外)都关闭了 JavaScript,也可以利用该漏洞。如果激活 JavaScript,上述所有密码管理器都会受到安全漏洞的影响。

Please share our article, every link counts!
Mail Logo
> Notebookcheck中文版(NBC中国) > 新闻 > 新闻档案 > 新闻档案 2023 12 > Android 密码管理器的 AutoSpill 漏洞暴露了登录数据
Alexander Pensler, 2023-12-12 (Update: 2023-12-12)