研究人员在黑帽大会上公布安卓多款密码管理器任意填充泄露密码漏洞 – 蓝点网 | {$randkws}热点解读 由于安卓渠道的自动填充特性

在这周举行的 Black Hat 黑帽大会上，来自印度海得拉巴大学的三名探究人员公开他们在 Android 渠道察觉的密码治理器缺陷，由于安卓渠道的自动填充特性，这会导致多款密码治理器例如 1Password、福州社区话题攻略LastPass、Keeper、Enpass 等研究使用者的密码。

这个漏洞被探究人员命名为 AutoSpill，这归于安卓渠道的难题，但第三方密码治理器也存在难题导致或许研究资料。

海得拉巴大学的后来才懂，山河远阔人间烟火三位探究人员 Ankit Gangwal、Shubham Singh 和 Abhijeet Srivastava 察觉，当 Android 使用在 WebView 中加载登陆页面时，多数密码治理器都会 “迷失自我”，不得知应该将使用者的登陆信息填充到哪里，而是上影节资讯将其凭据暴露给底层使用程序。

这是由于谷歌在 Android 上预装的 WebView 组件允许第三方开发者在使用程序内部调用 WebView 显示信息，例如：当一款使用程序扶持 Google 或 Facebook 登陆时，使用者访问使用 Google 登陆，该使用会经由 WebView 加载谷歌账户登陆页面。

理论上说密码治理器应该只将账户和密码提供给谷歌登陆页面，成年人的婚姻：表白语录但实际上开展自动填充时，密码治理器会将凭据暴露给发起调用的这款使用程序。

探究人员评测了 1Password、LastPass、Keeper、Enpass 等密码治理器察觉都存在这类自动填充难题，假如启动了 JavaScript 注入，那么所有密码治理器都受作用。

针对该难题探究人员将其通报给谷歌以及密码治理器开发商们，当下多数开发商都已然答复并强调会加强可靠防御举措。

1Password：我们已然确定并在探究针对 AutoSpill 的修复计划，部署修复计划后有助于持续提升可靠性，但 1Password 的自动填充特性旨在请求采取明确的操控，快要启动的修复计划将对 Android WebView 凭据提供额外的保护。

Keeper：我们正采取举措防止自动将凭据填充到不受信任的使用程序或没有获得使用者明确授权的站点，可是 Keeper 提议谷歌修复该难题，由于这是一个渠道难题。

LastPass：在此之前已然部署相应方法例如弹出警告提醒使用者某些不受信任的填充。

谷歌和 Enpass 当下尚未就此事亮相答复。探究人员还在针对 iOS 渠道开展评测，看看有没有相似的漏洞。