骨軟筋酥網研究人員在黑帽大會上公布安卓多款密碼管理器任意填充泄露密碼漏洞 – 藍點網
在本周舉辦的研究 Black Hat 黑帽大會上,來自印度海得拉巴大學的人員任意三名研究人員公布他們在 Android 平臺發現的密碼管理器缺陷,由于安卓平臺的黑帽濟南(全套服務)上門按摩vx《749*3814》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達自動填充功能,這會導致多款密碼管理器例如 1Password、布安LastPass、卓多Keeper、款密Enpass 等泄露用戶的碼管密碼密碼。
這個漏洞被研究人員命名為 AutoSpill,理器漏洞藍點這屬于安卓平臺的填充問題,但第三方密碼管理器也存在問題導致可能泄露數據。泄露
海得拉巴大學的研究濟南(全套服務)上門按摩vx《749*3814》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達三位研究人員 Ankit Gangwal、Shubham Singh 和 Abhijeet Srivastava 發現,人員任意當 Android 應用在 WebView 中加載登錄頁面時,黑帽多數密碼管理器都會 “迷失自我”,布安不知道應該將用戶的卓多登錄信息填充到哪里,而是將其憑據暴露給底層應用程序。
這是因為谷歌在 Android 上預裝的 WebView 組件允許第三方開發者在應用程序內部調用 WebView 顯示內容,例如:當一款應用程序支持 Google 或 Facebook 登錄時,用戶點擊使用 Google 登錄,該應用會通過 WebView 加載谷歌賬戶登錄頁面。
理論上說密碼管理器應該只將賬戶和密碼提供給谷歌登錄頁面,但實際上進行自動填充時,密碼管理器會將憑據暴露給發起調用的這款應用程序。
研究人員測試了 1Password、LastPass、Keeper、Enpass 等密碼管理器發現都存在這類自動填充問題,如果啟用了 JavaScript 注入,那么所有密碼管理器都受影響。
針對該問題研究人員將其通報給谷歌以及密碼管理器開發商們,目前多數開發商都已經回應并表示會加強安全防御措施。
1Password:我們已經確定并在研究針對 AutoSpill 的修復方案,部署修復方案后有助于繼續提高安全性,但 1Password 的自動填充功能旨在要求采取明確的操作,即將推出的修復方案將對 Android WebView 憑據提供額外的保護。
Keeper:我們正在采取措施防止自動將憑據填充到不受信任的應用程序或沒有獲得用戶明確授權的網站,不過 Keeper 建議谷歌修復該問題,因為這是一個平臺問題。
LastPass:在此之前已經部署相應方法例如彈出警告提醒用戶某些不受信任的填充。
谷歌和 Enpass 目前尚未就此事發布回應。研究人員還在針對 iOS 平臺進行測試,看看有沒有類似的漏洞。
