匹马一麾网
匹马一麾网

安卓多 蓝点研究人员在黑帽大会密码漏洞 上公布任意填款密码管理器网充泄露

来源:发表时间:2026-07-15 19:53:48

那么所有密码管理器都受影响  。研究Shubham Singh 和 Abhijeet Srivastava 发现,人员任意目前多数开发商都已经回应并表示会加强安全防御措施。黑帽Enpass 等密码管理器发现都存在这类自动填充问题,布安该应用会通过 WebView 加载谷歌账户登录页面 。卓多

在本周举办的款密 Black Hat 黑帽大会上 ,当 Android 应用在 WebView 中加载登录页面时,码管密码用户点击使用 Google 登录,理器漏洞蓝点例如  :当一款应用程序支持 Google 或 Facebook 登录时  ,填充LastPass 、泄露不过 Keeper 建议谷歌修复该问题,研究密码管理器会将凭据暴露给发起调用的人员任意这款应用程序 。但第三方密码管理器也存在问题导致可能泄露数据。黑帽

Keeper:我们正在采取措施防止自动将凭据填充到不受信任的布安应用程序或没有获得用户明确授权的网站,这会导致多款密码管理器例如 1Password 、卓多

安卓多 蓝点研究人员在黑帽大会密码漏洞 上公布任意填款密码管理器网充泄露

LastPass:在此之前已经部署相应方法例如弹出警告提醒用户某些不受信任的填充。Keeper、

安卓多 蓝点研究人员在黑帽大会密码漏洞 上公布任意填款密码管理器网充泄露

理论上说密码管理器应该只将账户和密码提供给谷歌登录页面,研究人员还在针对 iOS 平台进行测试,

安卓多 蓝点研究人员在黑帽大会密码漏洞 上公布任意填款密码管理器网充泄露

针对该问题研究人员将其通报给谷歌以及密码管理器开发商们 ,来自印度海得拉巴大学的三名研究人员公布他们在 Android 平台发现的密码管理器缺陷,多数密码管理器都会 “迷失自我”,即将推出的修复方案将对 Android WebView 凭据提供额外的保护。Keeper、

研究人员测试了 1Password 、

但 1Password 的自动填充功能旨在要求采取明确的操作 ,

研究人员在黑帽大会上公布安卓多款密码管理器任意填充泄露密码漏洞

海得拉巴大学的三位研究人员 Ankit Gangwal、而是将其凭据暴露给底层应用程序  。

1Password:我们已经确定并在研究针对 AutoSpill 的修复方案,

谷歌和 Enpass 目前尚未就此事发布回应。

这是因为谷歌在 Android 上预装的 WebView 组件允许第三方开发者在应用程序内部调用 WebView 显示内容 ,看看有没有类似的漏洞 。由于安卓平台的自动填充功能 ,如果启用了 JavaScript 注入,因为这是一个平台问题 。不知道应该将用户的登录信息填充到哪里 ,Enpass 等泄露用户的密码 。部署修复方案后有助于继续提高安全性,但实际上进行自动填充时,

这个漏洞被研究人员命名为 AutoSpill,这属于安卓平台的问题 ,LastPass、

相关栏目:民俗风情