Android 密码管理器的 AutoSpill 漏洞暴露了登录数据

在Black Hat Europe 2023安全会议上，来自印度信息技术学院的研究人员提出了一个名为 "AutoSpill "的新漏洞。由于Android WebView 模块（该模块基于 Chrome 浏览器，用于在应用程序中输入密码）存在漏洞，恶意应用程序理论上可以神不知鬼不觉地访问密码管理器中的数据。

如果密码管理器使用自动填充功能自动输入访问数据，登录数据就会插入 WebView 中底层应用程序的数据字段，而不是网站。在这种情况下，应用程序本身只需读取登录数据，而实际上这些数据只需插入 WebView 中的登录页面即可。

这就意味着这里不需要进行网络钓鱼，即显示一个带有用户名和密码字段的虚假网站，而是显示互联网服务的真实登录页面。该安全漏洞已通过使用Android 自带的谷歌智能锁以及第三方应用程序 1Password、Dashlane、Enpass、LastPass、Keepass2Android 和 Keeper 的密码管理器进行了测试。

据研究人员称自动溢出 "漏洞出现在Android 10、11 和 12 版本中，即使所有密码管理器（Google Smart Lock 和 Dashlane 除外）都关闭了 JavaScript，也可以利用该漏洞。如果激活 JavaScript，上述所有密码管理器都会受到安全漏洞的影响。