导读 在Android设备上使用密码管理器中的自动填充功能输入密码存在安全漏洞。恶意应用程序可以使用WebView模块来监视输入的登录详细信息。在Blac...

在Android设备上使用密码管理器中的自动填充功能输入密码存在安全漏洞。恶意应用程序可以使用WebView模块来监视输入的登录详细信息。

在BlackHatEurope2023安全会议上,印度信息技术研究所的研究人员提出了一个名为“AutoSpill”的新漏洞。由于AndroidWebView模块(基于Chrome浏览器并用于在应用程序中输入密码)存在缺陷,理论上恶意应用程序可以在不被注意的情况下访问密码管理器中的数据。

如果密码管理器使用自动填充功能自动输入访问数据,则可以将登录数据插入到WebView中底层应用程序的数据字段中,而不是插入到网站中。在这种情况下,应用程序本身可以简单地读取登录数据,这些数据实际上应该插入到WebView内的登录页面中。

这意味着这里不需要网络钓鱼,即显示带有用户名和密码字段的虚假网站,而是显示互联网服务的真实登录页面。该安全漏洞已通过使用Android自己的GoogleSmartLock的密码管理器以及第三方应用程序1Password、Dashlane、Enpass、LastPass、Keepass2Android和Keeper进行了测试。

研究人员表示,“AutoSpill”漏洞出现在Android版本10、11和12中,即使在所有密码管理器中关闭JavaScript(GoogleSmartLock和Dashlane除外),也可以利用该漏洞。如果JavaScript被激活,所有上述密码管理器都会受到安全漏洞的影响。