近期网络安全公司IIIT Hyderabad的安全专家出席Black Hat Europe大会,公开披露了一个存在于Android系统自动填充功能中的漏洞,这将会导致意外泄露用户的密码。
专家将该漏洞命名为AutoSpill。 通过系统漏洞可绕过 Android 系统的安全自动填充机制,从而导致存储的密码等敏感资料。
原理在于 Android 应用进行 WebView 加载登录页面时,密码管理器无法准确定位用户需要在哪个框中输入登录数据,这可能会导致在底层应用中暴露原生字段,从而泄露密码。
据研究人员 Ankit Gangwal 的解释,即使用户在应用程序中通过账号进行合法登录,攻击者仍然可以透过漏洞来窃取用户的账号。
目前团队测试了 1Password、LastPass、Keeper 和 Enpass 在内的主流密码管理器,发现无一例外的都存在漏洞。 即使是在禁用 JavaScript 注入后,漏洞依然有效。
为了尽快保证用户信息安全,1Password CTO Pedro Canahuati 表示「虽然修复将进一步加强我们的安全态势,但 1Password 的自动填充功能旨在要求用户采取明确的行动。 此更新将通过防止本机字段填充仅适用于 Android 的 WebView 的凭据来提供额外的保护。」
而 Keeper CTO Craig Lurey 在与 TechCrunch 的谈话中表示,虽然公司已收到有关潜在漏洞的通知,但未说明是否进行任何修复。
微信扫一扫
相关推荐
-
过年卖啥成本低赚钱快?这3个不起眼的小生意,成本低利润高
距离今年的春节还有不到40天的时间,估计有的放假早的朋友都已经返乡准备过年了吧,相信大家在外辛辛苦苦奋斗一年,过年钱肯定是攒够了的哈,如若是过年钱都没攒够,那也别慌,笔者这就为你们…
-
《决胜时刻M》决胜音乐季开跑 完成任务即有机会获得梅西亲笔签名球!
《决胜时刻M》决胜音乐祭开跑! 本次官方提供全球限量的「梅西亲笔签名球」作为梦幻赠品,自3月31日起至4月16日止,只要于该期间内登入游戏累计达三天即可获得抽奖券乙张,此外,游戏内…
-
怪物猎人世界盾斧最佳配装(怪物猎人世界盾斧开荒上位配装)
1、简化版操作 有人说盾斧操作复杂啊,难啊,总结一点,其实都是可以练习的嘛。基本上打几个木桩,熟悉一下基本连招,然后再猫车几次就玩的6了。对于想玩盾斧的朋友,这都不是困难。 基本连…
-
《少女回战》释出第一波角色声优、世界观、养成玩法 事前登录进行中!
由艾瑞尔代理的纯正日系美少女育成放置 RPG《少女回战》事前登录进行中,官方今(25)日释出 7 名角色声优阵容,以及游戏的世界观跟美少女养成玩法。 预言中的英雄,拯救苍生! 东汉…
-
连门都不用进,《黄金树幽影》新逃课攻略可在雾门外轻松击败「双月骑士」
逃课虽可耻但有用。 《艾尔登法环 黄金树幽影》(Elden Ring: Shadow of the Erdtree)资料片最受欢迎的 BOSS「双月骑士蕾菈娜」是一个大铁板,但这个…
-
GIGABYTE G5KE 12代12500H RTX3060开箱
先晒几张新入手的GIGABYTE G5KE 照片 去年底开始,有想换笔记本的想法,使用习惯是桌机60%笔记本40%主要需求是工作上外面开会便携性及移动偶尔会娱乐用途再来就是现在解封…
