近期網絡安全公司 IIIT Hyderabad 的安全專家出席 Black Hat Europe 大會,公開披露了一個存在於 Android 系統自動填充功能中的漏洞,這將會導致意外洩露用戶的密碼。
專家將該漏洞命名為「AutoSpill」。通過系統漏洞可繞過 Android 系統的安全自動填充機制,從而導致存儲的密碼等敏感資料。
原理在於 Android 應用進行 WebView 加載登錄頁面時,密碼管理器無法準確定位用戶需要在哪個框中輸入登錄資料,這可能會導致在底層應用中暴露原生字段,從而洩露密碼。
據研究人員 Ankit Gangwal 的解釋,即使用戶在應用程式中通過 Google 或 Facebook 賬號進行合法登錄,攻擊者仍然可以透過漏洞來竊取用戶的賬號。
目前團隊測試了 1Password、LastPass、Keeper 和 Enpass 在內的主流密碼管理器,發現無一例外的都存在漏洞。即使是在禁用 JavaScript 注入後,漏洞依然有效。
為了盡快保證用戶信息安全,1Password CTO Pedro Canahuati 表示「雖然修復將進一步加強我們的安全態勢,但 1Password 的自動填充功能旨在要求用戶採取明確的行動。此更新將通過防止本機字段填充僅適用於 Android 的 WebView 的憑據來提供額外的保護。」
而 Keeper CTO Craig Lurey 在與 TechCrunch 的談話中表示,雖然公司已收到有關潛在漏洞的通知,但未說明是否進行任何修復。
