新闻

首页 >  新闻

可泄露用户敏感信息,安卓漏洞曝光:多款密码管理器应用受影响

日期: 来源:阿酷安卓网
12 月 8 日消息,网络安全公司 IIIT Hyderabad 的安全专家近日出席 Black Hat Europe 大会,披露了存在于安卓系统自动填充功能中的漏洞,会意外泄露用户的密码信息。

可泄露用户敏感信息,安卓漏洞曝光:多款密码管理器应用受影响

专家命名该漏洞为“AutoSpill”,发现该漏洞可以绕过安卓系统的安全自动填充机制,从而暴露存储的密码等敏感信息。

安卓应用在 WebView 中加载登录页面后,密码管理器无法准确定位用户需要在哪个框内输入登录信息,从而在底层应用中暴露原生字段。

可泄露用户敏感信息,安卓漏洞曝光:多款密码管理器应用受影响

研究人员 Ankit Gangwal 解释称,在应用程序中通过 Google 或 Facebook 账号合法登录,攻击者可以利用该漏洞,依然可以窃取用户的账号信息。

可泄露用户敏感信息,安卓漏洞曝光:多款密码管理器应用受影响

该团队测试了包括 1Password、LastPass、Keeper 和 Enpass 在内的主流密码管理器,发现其均存在该漏洞。即使禁用了 JavaScript 注入,漏洞仍然存在。

1Password 首席技术官 Pedro Canahuati 告诉 TechCrunch,该公司已经确定并正在努力修复 AutoSpill。Canahuati 表示:

Keeper 首席技术官克雷格・卢里 (Craig Lurey) 在与 TechCrunch 分享的讲话中表示,该公司已收到有关潜在漏洞的通知。但没有说明是否进行了任何修复。

附上该漏洞的详细论文地址,感兴趣的用户可以深入阅读。

相关资讯