许多密码管理器在Android上容易受到AutoSpill攻击
Android上的许多密码管理器容易受到AutoSpill攻击
一组研究人员最近发现了一个新的漏洞,被称为“AutoSpill”,影响了安卓设备上的几款热门密码管理器,根据最新的ENBLE报告。该漏洞允许恶意应用程序通过利用安卓的WebView组件中的自动填充功能,访问存储在密码管理器中的用户敏感登录凭据。
根据来自印度海德拉巴 IIIT 的 Ankit Gangwal、Shubham Singh 和 Abhijeet Srivastava 的说法,该漏洞通过欺骗密码管理器,使其在应用程序通过WebView而不是启动外部Web浏览器显示登录页面时,自动填充凭据到应用程序的本机文本字段中。
“即使没有钓鱼,任何要求您通过另一个网站,如Google或Facebook登录的恶意应用程序,都可以自动访问敏感信息,”Gangwal 解释道。
研究人员在完全更新的安卓设备上测试了 AutoSpill 对 1Password、LastPass、Keeper 和 Enpass 等主要密码管理器的影响。他们发现大多数应用程序即使启用了JavaScript注入保护,仍然容易受到攻击。启用JavaScript后,所有测试的密码管理器都很容易受到攻击。
考虑到密码管理器在存储各种在线服务的敏感登录信息方面的流行程度,这个漏洞的后果是严重的。如果被利用,恶意应用程序可以轻松访问大量的用户名和密码。
- ‘三星最新升级引起众多Galaxy手机出现了一系列的故障浪潮’
- (Xīn de yìngyòng chéngxù kěnéng hěn kuài jiāng FaceTime hé lán qìpà...
- 2023年最佳Fitbit:6个最佳手表和跟踪器| ENBLE
Gangwal 向 Google 和受影响的密码管理器开发者披露了这些发现。1Password 承认存在漏洞,并声称已经找到了解决方法,将在未来的更新中推出。LastPass 也已采取了缓解措施。其他供应商尚未公开发表评论或确认解决此问题的计划。
研究团队表示,他们仍在调查类似的攻击是否可能发生在iOS设备上。目前,安卓用户在本机应用程序文本字段中输入凭据时,应谨慎行事,即使是由基于WebView的登录页面提示。一如既往,只安装来自可信任的来源,如Google Play Store 的应用程序。
AutoSpill 的研究凸显了在现代应用程序生态系统中保护凭据的增加挑战。随着登录系统越来越多地从Web转向应用内嵌浏览器流程,在揭示出诸多风险的同时,这种漏洞也显示出许多仍需发现。
