可泄露用户敏感信息，安卓漏洞 AutoSpill 曝光：多款密码管理器应用受影响

图片地址：https://img.ithome.com/newsuploadfiles/2023/12/829eb194-7e29-40c6-ba53-86dd396f04de.jpg?x-bce-process=image/format,f_auto

IT之家 12 月 8 日消息，网络安全公司 IIIT Hyderabad 的安全专家近日出席 Black Hat Europe 大会，披露了存在于安卓系统自动填充功能中的漏洞，会意外泄露用户的密码信息。专家命名该漏洞为“AutoSpill”，发现该漏洞可以绕过安卓系统的安全自动填充机制，从而暴露存储的密码等敏感信息。安卓应用在 WebView 中加载登录页面后，密码管理器无法准确定位用户需要在哪个框内输入登录信息，从而在底层应用中暴露原生字段。研究人员 Ankit Gangwal 解释称，在应用程序中通过 Google 或 Facebook 账号合法登录，攻击者可以利用该漏洞，依然可以窃取用户的账号信息。该团队测试了包括 1Password、LastPass、Keeper 和 Enpass 在内的主流密码管理器，发现其均存在该漏洞，即使禁用了 JavaScript 注入，漏洞仍然存在。1Password 首席技术官 Pedro