您在 Android 上保存的密码可能会被泄露?

由于 Android 应用程序自动填充功能中的漏洞，许多流行的移动密码管理器无意中泄露了用户凭据。

IIIT Hyderabad大学研究人员发现了该漏洞，并于本周在 Black Hat Europe 上展示了他们的研究成果，该漏洞被称为“AutoSpill”，可以通过绕过 Android 的安全自动填充机制，暴露用户从移动密码管理器保存的凭据。

研究人员 Ankit Gangwal、Shubham Singh 和 Abhijeet Srivastava 发现，当 Android 应用程序在 WebView 中加载登录页面时，密码管理器可能会“迷失方向”，不知道应该将用户的登录信息定位到哪里，而是将其凭据暴露给底层应用程序的凭据。他们说，这是因为 Google 预装的 WebView 引擎允许开发人员在应用程序内显示 Web 内容，而无需启动 Web 浏览器，并生成自动填充请求。

“假设您正在尝试在移动设备上登录您最喜欢的音乐应用程序，并且您使用“通过 Google 或 Facebook 登录”选项。该音乐应用程序将通过 WebView 在其内部打开 Google 或 Facebook 登录页面，”Gangwal 在周三的 Black Hat 演示之前向 TechCrunch 解释道。

“当调用密码管理器自动填充凭据时，理想情况下，它应该仅自动填充到已加载的 Google 或 Facebook 页面中。但我们发现自动填充操作可能会意外地将凭据暴露给基础应用程序。”

Gangwal 指出，此漏洞的后果非常严重，特别是在基础应用程序是恶意的情况下。他补充道：“即使没有网络钓鱼，任何要求您通过其他网站（例如 Google 或 Facebook）登录的恶意应用程序都可以自动访问敏感信息。”

研究人员使用一些最流行的密码管理器（包括 1Password、LastPass、Keeper 和 Enpass）在新的和最新的 Android 设备上测试了 AutoSpill 漏洞。他们发现，即使禁用了 JavaScript 注入，大多数应用程序也容易受到凭证泄露的影响。当启用 JavaScript 注入时，所有密码管理器都容易受到 AutoSpill 漏洞的影响。

Gangwal 表示，他向谷歌和受影响的密码管理器发出了有关该漏洞的警告。

1Password 首席技术官 Pedro Canahuati 告诉 TechCrunch，该公司已经确定并正在研究针对 AutoSpill 的修复方案。“虽然修复将进一步加强我们的安全状况，但 1Password 的自动填充功能旨在要求用户采取明确的操作，”Canahuati 说。“该更新将通过防止本机字段填充仅适用于 Android WebView 的凭据来提供额外的保护。”

Keeper 首席技术官 Craig Lurey 在接受 TechCrunch 采访时表示，该公司已收到有关潜在漏洞的通知，但没有透露是否已进行任何修复。“我们要求研究人员提供一段视频来演示所报告的问题。根据我们的分析，我们确定研究人员首先安装了恶意应用程序，随后接受了 Keeper 的提示，强制将恶意应用程序与 Keeper 密码记录关联起来。”Lurey 说道。

Keeper 表示，它“采取了保护措施，防止用户自动将凭据填充到不受信任的应用程序或未经用户明确授权的网站”，并建议研究人员向谷歌提交报告，“因为它与 Android 特别相关”。平台。”

谷歌和 Enpass 没有回应 TechCrunch 的问题。LastPass 威胁情报、缓解和升级团队主管 Alex Cox 告诉 TechCrunch，在了解研究人员的发现之前，LastPass 已经通过在应用程序检测到以下情况时在产品内弹出警告来采取缓解措施：尝试利用该漏洞。“分析结果后，我们在弹出窗口中添加了更多信息丰富的措辞，”考克斯说。

Gangwal 告诉 TechCrunch，研究人员现在正在探索攻击者从应用程序提取凭据到 WebView 的可能性。该团队还在调查该漏洞是否可以在 iOS 上复制。

根据 LastPass 的评论进行了更新。

信息来源：Techcrunch