随着互联网的蓬勃发展,我们每个人所拥有的互联网应用账号越来越多,相对应的所需要记住的密码也就越来越多,所以很多人都会使用密码管理器来辅助保存和填入密码,但最新的研究成果表明安卓的一些密码管理器中存在着漏洞,他们可能会泄露用户数据。
在最近举办的2023 Black Hat Europe大会上,来自IIIT Hyderabad(海得拉巴国际信息技术学院)的研究人员介绍了他们最新发现的名为“AutoSpill”的漏洞,该漏洞可绕过安卓系统的安全自动填充机制,从而导致存储的密码等敏感信息意外泄露。
AutoSpill漏洞存在于应用程序内加载登录页面的自动填充操作期间,对于一个常见的场景,使用WebView控件将网页加载到移动应用程序中,AutoSpill 漏洞会让密码管理器无法准确定位用户需要在哪个框内输入登录信息,从而在底层应用中暴露原生字段,进而泄露密码等敏感信息。(WebView是Google的预装引擎,允许开发人员在应用程序内显示网页内容,而无需启动网页浏览器)
研究发现,即使禁用JavaScript注入,大多数Android密码管理器也很容易受到AutoSpill的攻击,而启用JavaScript注入则会加剧这一问题,测试中包括1Password、LastPass、Keeper和Enpass在内的主流密码管理器都受到了该漏洞的影响。并且在涉及到恶意基础应用程序的情况下,即使合法使用Google或Facebook账号进行应用程序登录,恶意应用程序也可以自动访问敏感信息。
目前,对于此次发现的漏洞,受影响的各个厂商都认可了其有效性,并采取了相关的措施进行解决。与此同时,研究人员表示,未来他们还将在iOS设备上测试该漏洞。
最前沿的电子设计资讯
