在本周舉辦的研究 Black Hat 黑帽大會(huì)上,來(lái)自印度海得拉巴大學(xué)的人員任意三名研究人員公布他們?cè)?Android 平臺(tái)發(fā)現(xiàn)的密碼管理器缺陷,由于安卓平臺(tái)的黑帽長(zhǎng)沙雨花品茶喝茶中高端喝茶場(chǎng)子vx《134-8006-5952》提供外圍女上門(mén)服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)自動(dòng)填充功能,這會(huì)導(dǎo)致多款密碼管理器例如 1Password、布安LastPass、卓多Keeper、款密Enpass 等泄露用戶的碼管密碼密碼。
這個(gè)漏洞被研究人員命名為 AutoSpill,理器漏洞藍(lán)點(diǎn)這屬于安卓平臺(tái)的填充問(wèn)題,但第三方密碼管理器也存在問(wèn)題導(dǎo)致可能泄露數(shù)據(jù)。泄露
海得拉巴大學(xué)的研究長(zhǎng)沙雨花品茶喝茶中高端喝茶場(chǎng)子vx《134-8006-5952》提供外圍女上門(mén)服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)三位研究人員 Ankit Gangwal、Shubham Singh 和 Abhijeet Srivastava 發(fā)現(xiàn),人員任意當(dāng) Android 應(yīng)用在 WebView 中加載登錄頁(yè)面時(shí),黑帽多數(shù)密碼管理器都會(huì) “迷失自我”,布安不知道應(yīng)該將用戶的卓多登錄信息填充到哪里,而是將其憑據(jù)暴露給底層應(yīng)用程序。
這是因?yàn)楣雀柙?Android 上預(yù)裝的 WebView 組件允許第三方開(kāi)發(fā)者在應(yīng)用程序內(nèi)部調(diào)用 WebView 顯示內(nèi)容,例如:當(dāng)一款應(yīng)用程序支持 Google 或 Facebook 登錄時(shí),用戶點(diǎn)擊使用 Google 登錄,該應(yīng)用會(huì)通過(guò) WebView 加載谷歌賬戶登錄頁(yè)面。
理論上說(shuō)密碼管理器應(yīng)該只將賬戶和密碼提供給谷歌登錄頁(yè)面,但實(shí)際上進(jìn)行自動(dòng)填充時(shí),密碼管理器會(huì)將憑據(jù)暴露給發(fā)起調(diào)用的這款應(yīng)用程序。
研究人員測(cè)試了 1Password、LastPass、Keeper、Enpass 等密碼管理器發(fā)現(xiàn)都存在這類(lèi)自動(dòng)填充問(wèn)題,如果啟用了 JavaScript 注入,那么所有密碼管理器都受影響。
針對(duì)該問(wèn)題研究人員將其通報(bào)給谷歌以及密碼管理器開(kāi)發(fā)商們,目前多數(shù)開(kāi)發(fā)商都已經(jīng)回應(yīng)并表示會(huì)加強(qiáng)安全防御措施。
1Password:我們已經(jīng)確定并在研究針對(duì) AutoSpill 的修復(fù)方案,部署修復(fù)方案后有助于繼續(xù)提高安全性,但 1Password 的自動(dòng)填充功能旨在要求采取明確的操作,即將推出的修復(fù)方案將對(duì) Android WebView 憑據(jù)提供額外的保護(hù)。
Keeper:我們正在采取措施防止自動(dòng)將憑據(jù)填充到不受信任的應(yīng)用程序或沒(méi)有獲得用戶明確授權(quán)的網(wǎng)站,不過(guò) Keeper 建議谷歌修復(fù)該問(wèn)題,因?yàn)檫@是一個(gè)平臺(tái)問(wèn)題。
LastPass:在此之前已經(jīng)部署相應(yīng)方法例如彈出警告提醒用戶某些不受信任的填充。
谷歌和 Enpass 目前尚未就此事發(fā)布回應(yīng)。研究人員還在針對(duì) iOS 平臺(tái)進(jìn)行測(cè)試,看看有沒(méi)有類(lèi)似的漏洞。