Android密码管理器的AutoSpill漏洞暴露了登录数据

在 Black Hat Europe 2023 安全会议上，印度信息技术研究所的研究人员提出了一个名为“AutoSpill”的新漏洞。由于基于 Chrome 浏览器并用于在应用程序中输入密码的 Android WebView 模块存在漏洞，因此恶意应用程序理论上可以在不被注意的情况下从密码管理器访问数据。

如果密码管理器使用自动填充功能自动输入访问数据，则可以将登录数据插入到 WebView 中底层应用程序的数据字段中，而不是网站中。在这种情况下，应用程序本身可以简单地读取登录数据，这些数据实际上应该插入到 WebView 中的登录页面中。

这意味着这里不需要网络钓鱼，即显示带有用户名和密码字段的虚假网站，而是显示互联网服务的真实登录页面。该安全漏洞已使用Android自己的Google Smart Lock以及第三方应用程序1Password，Dashlane，Enpass，LastPass，Keepass2Android和Keeper的密码管理器进行了测试。

据研究人员称，“AutoSpill”漏洞发生在 Android 版本 10、11 和 12 中，即使在所有密码管理器中关闭 JavaScript（Google Smart Lock 和 Dashlane 除外）也可以被利用。如果激活了 JavaScript，则上述所有密码管理器都会受到安全漏洞的影响。

来源：IT时代网

IT时代网(关注微信公众号ITtime2000，定时推送，互动有福利惊喜)所有原创文章版权所有，未经授权，转载必究。
创客100创投基金成立于2015年，直通硅谷，专注于TMT领域早期项目投资。LP均来自政府、互联网IT、传媒知名企业和个人。创客100创投基金对IT、通信、互联网、IP等有着自己独特眼光和丰富的资源。决策快、投资快是创客100基金最显著的特点。

相关文章

Android密码管理器的AutoSpill漏洞暴露了登录数据