六款最受欢迎的Android密码管理器正在泄露数据
六款最受欢迎的Android密码管理器数据泄露的问题日益严重
由于发现了Android应用程序的自动填充功能中的漏洞,一些移动密码管理器正在泄露用户凭据。
这个被称为AutoSpill的窃取凭证的漏洞是由国际信息技术研究所海德拉巴分部的研究团队在上周的2023年黑帽(Black Hat)欧洲会议上报告的。
当Android通过WebView调用登录页面时,这个漏洞就会被利用。(WebView是一种Android组件,使得可以在不打开Web浏览器的情况下查看Web内容。)当发生这种情况时,WebView允许Android应用程序显示所访问的网页内容。
这一切都很好 – 除非将密码管理器添加进来:与WebView共享的凭证也可以与最初调用用户名和密码的应用程序共享。如果原始应用程序是可信的,一切都应该没问题。如果那个应用程序不可信,情况可能会很糟糕。
- 《一加12已经出了什么问题了| ENBLE》
- 2023年最佳MP3播放器’ (2023 nián zuìjiā MP3 bōfàngqì)
- 苹果封锁 Beeper Mini 上的 iMessage,只是更大的蓝/绿气泡传说的一部分
受影响的密码管理器包括1Password、LastPass、Enpass、Keeper和Keepass2Android。此外,如果通过JavaScript注入方法共享凭据,DashLane和Google Smart Lock也受到了这个漏洞的影响。
由于这个漏洞的特性,既不需要网络钓鱼,也不需要恶意应用程序代码。
要记住的一件事是,研究人员在过时的硬件和软件上进行了测试。
具体来说,他们在以下三个设备上进行了测试:Poco F1、三星Galaxy Tab S6 Lite和三星Galaxy A52。他们测试中使用的Android版本分别是Android 0(带有2020年12月安全补丁)、Android 11(带有2022年1月安全补丁)和Android 12(带有2022年4月安全补丁)。
由于这些受测试的设备以及操作系统和安全补丁都已过时,很难确定这个漏洞是否会影响更新版本的Android。
另外:即使在那次LastPass混乱之后,您仍然可以信任(其他)密码管理器
然而,即使您使用的设备与该研究小组所测试的设备不同,也不意味着应该对此漏洞轻描淡写。相反,它应该提醒您始终保持Android操作系统和已安装的应用程序处于最新状态。WebView系统一直受到审查,这个软件的更新应该始终保持更新。为此,您可以在设备上打开Google Play商店,搜索WebView,点击关于本应用程序,并与设备上安装的版本进行比较。如果它们不同,您将需要进行更新。
确保Android始终处于尽可能最新的状态是保持安全的最佳方式之一。每天检查操作系统和应用程序更新,并应用所有可用的更新。