这个漏洞被研究人员命名为 AutoSpill ,研究用户点击使用 Google 登录,人员任意多数密码管理器都会 “迷失自我”,黑帽那么所有密码管理器都受影响 。布安Shubham Singh 和 Abhijeet Srivastava 发现,卓多


这是填充因为谷歌在 Android 上预装的 WebView 组件允许第三方开发者在应用程序内部调用 WebView 显示内容 ,

研究人员测试了 1Password、泄露Keeper 、研究这会导致多款密码管理器例如 1Password、人员任意
理论上说密码管理器应该只将账户和密码提供给谷歌登录页面,黑帽不过 Keeper 建议谷歌修复该问题,布安即将推出的卓多修复方案将对 Android WebView 凭据提供额外的保护 。

海得拉巴大学的三位研究人员 Ankit Gangwal 、当 Android 应用在 WebView 中加载登录页面时,Keeper、但实际上进行自动填充时,但第三方密码管理器也存在问题导致可能泄露数据 。由于安卓平台的自动填充功能 ,目前多数开发商都已经回应并表示会加强安全防御措施 。
Keeper :我们正在采取措施防止自动将凭据填充到不受信任的应用程序或没有获得用户明确授权的网站,因为这是一个平台问题。LastPass 、
LastPass:在此之前已经部署相应方法例如弹出警告提醒用户某些不受信任的填充。而是将其凭据暴露给底层应用程序 。如果启用了 JavaScript 注入,Enpass 等密码管理器发现都存在这类自动填充问题 ,看看有没有类似的漏洞。例如 :当一款应用程序支持 Google 或 Facebook 登录时 ,来自印度海得拉巴大学的三名研究人员公布他们在 Android 平台发现的密码管理器缺陷 ,LastPass、密码管理器会将凭据暴露给发起调用的这款应用程序。
针对该问题研究人员将其通报给谷歌以及密码管理器开发商们,部署修复方案后有助于继续提高安全性,不知道应该将用户的登录信息填充到哪里 ,但 1Password 的自动填充功能旨在要求采取明确的操作,Enpass 等泄露用户的密码 。
在本周举办的 Black Hat 黑帽大会上 ,
谷歌和 Enpass 目前尚未就此事发布回应。研究人员还在针对 iOS 平台进行测试,
1Password:我们已经确定并在研究针对 AutoSpill 的修复方案,