在本周舉辦的研究 Black Hat 黑帽大會上，來自印度海得拉巴大學(xué)的人員任意三名研究人員公布他們在 Android 平臺發(fā)現(xiàn)的密碼管理器缺陷，由于安卓平臺的黑帽成都外圍（外圍上門）外圍預(yù)約（微信156-8194-*7106）提供高端外圍上門真實靠譜快速安排不收定金見人滿意付款自動填充功能，這會導(dǎo)致多款密碼管理器例如 1Password、布安LastPass、卓多Keeper、款密Enpass 等泄露用戶的碼管密碼密碼。

這個漏洞被研究人員命名為 AutoSpill，理器漏洞藍(lán)點這屬于安卓平臺的填充問題，但第三方密碼管理器也存在問題導(dǎo)致可能泄露數(shù)據(jù)。泄露

海得拉巴大學(xué)的研究成都外圍（外圍上門）外圍預(yù)約（微信156-8194-*7106）提供高端外圍上門真實靠譜快速安排不收定金見人滿意付款三位研究人員 Ankit Gangwal、Shubham Singh 和 Abhijeet Srivastava 發(fā)現(xiàn)，人員任意當(dāng) Android 應(yīng)用在 WebView 中加載登錄頁面時，黑帽多數(shù)密碼管理器都會 “迷失自我”，布安不知道應(yīng)該將用戶的卓多登錄信息填充到哪里，而是將其憑據(jù)暴露給底層應(yīng)用程序。

這是因為谷歌在 Android 上預(yù)裝的 WebView 組件允許第三方開發(fā)者在應(yīng)用程序內(nèi)部調(diào)用 WebView 顯示內(nèi)容，例如：當(dāng)一款應(yīng)用程序支持 Google 或 Facebook 登錄時，用戶點擊使用 Google 登錄，該應(yīng)用會通過 WebView 加載谷歌賬戶登錄頁面。

理論上說密碼管理器應(yīng)該只將賬戶和密碼提供給谷歌登錄頁面，但實際上進行自動填充時，密碼管理器會將憑據(jù)暴露給發(fā)起調(diào)用的這款應(yīng)用程序。

研究人員測試了 1Password、LastPass、Keeper、Enpass 等密碼管理器發(fā)現(xiàn)都存在這類自動填充問題，如果啟用了 JavaScript 注入，那么所有密碼管理器都受影響。

針對該問題研究人員將其通報給谷歌以及密碼管理器開發(fā)商們，目前多數(shù)開發(fā)商都已經(jīng)回應(yīng)并表示會加強安全防御措施。

1Password：我們已經(jīng)確定并在研究針對 AutoSpill 的修復(fù)方案，部署修復(fù)方案后有助于繼續(xù)提高安全性，但 1Password 的自動填充功能旨在要求采取明確的操作，即將推出的修復(fù)方案將對 Android WebView 憑據(jù)提供額外的保護。

Keeper：我們正在采取措施防止自動將憑據(jù)填充到不受信任的應(yīng)用程序或沒有獲得用戶明確授權(quán)的網(wǎng)站，不過 Keeper 建議谷歌修復(fù)該問題，因為這是一個平臺問題。

LastPass：在此之前已經(jīng)部署相應(yīng)方法例如彈出警告提醒用戶某些不受信任的填充。

谷歌和 Enpass 目前尚未就此事發(fā)布回應(yīng)。研究人員還在針對 iOS 平臺進行測試，看看有沒有類似的漏洞。