Android 密码管理器的 AutoSpill 漏洞暴露了登录数据
在Black Hat Europe 2023安全会议上,来自印度信息技术学院的研究人员提出了一个名为 "AutoSpill "的新漏洞。由于Android WebView 模块(该模块基于 Chrome 浏览器,用于在应用程序中输入密码)存在漏洞,恶意应用程序理论上可以神不知鬼不觉地访问密码管理器中的数据。
如果密码管理器使用自动填充功能自动输入访问数据,登录数据就会插入 WebView 中底层应用程序的数据字段,而不是网站。在这种情况下,应用程序本身只需读取登录数据,而实际上这些数据只需插入 WebView 中的登录页面即可。
这就意味着这里不需要进行网络钓鱼,即显示一个带有用户名和密码字段的虚假网站,而是显示互联网服务的真实登录页面。该安全漏洞已通过使用Android 自带的谷歌智能锁以及第三方应用程序 1Password、Dashlane、Enpass、LastPass、Keepass2Android 和 Keeper 的密码管理器进行了测试。
据研究人员称自动溢出 "漏洞出现在Android 10、11 和 12 版本中,即使所有密码管理器(Google Smart Lock 和 Dashlane 除外)都关闭了 JavaScript,也可以利用该漏洞。如果激活 JavaScript,上述所有密码管理器都会受到安全漏洞的影响。
资料来源
» Notebookcheck多媒体笔记本电脑Top 10排名
» Notebookcheck游戏笔记本电脑Top 10排名
» Notebookcheck低价办公/商务笔记本电脑Top 10排名
» Notebookcheck高端办公/商务笔记本电脑Top 10排名
» Notebookcheck工作站笔记本电脑Top 10排名
» Notebookcheck亚笔记本电脑Top 10排名
» Notebookcheck超级本产品Top 10排名
» Notebookcheck变形本产品Top 10排名
» Notebookcheck平板电脑Top 10排名
» Notebookcheck智能手机Top 10排名
» Notebookcheck评测过最出色的笔记本电脑屏幕
» Notebookcheck售价500欧元以下笔记本电脑Top 10排名
» Notebookcheck售价300欧元以下笔记本电脑Top 10排名