移动密码管理器可能泄露您的凭证

关键要点

Android应用程序的自动填充功能存在一个缺陷，可能导致移动密码管理器中的凭证意外暴露。该漏洞名为“AutoSpill”，源于在WebView加载应用登录页面时，密码管理器对用户登录数据的错误识别。受影响的密码管理器包括1Password、Keeper、LastPass和Enpass。Google和相关密码管理器已经接到关于AutoSpill漏洞的通知。

最近，TechCrunch报道称，安卓应用程序的自动填充功能受到了一个缺陷的影响，这可能导致包括 1Password、Keeper、LastPass 和 Enpass 在内的移动密码管理器中保存的凭证意外曝光。根据印度海德拉巴国际信息技术研究所IIIT Hyderabad研究人员在黑帽欧洲会议上提出的研究，“AutoSpill”攻克了密码管理器在应用加载的WebView中，错误获取用户登录数据的问题。研究人员Ankit Gangwal指出：“即使没有网络钓鱼，任何要求您通过其他网站如Google或Facebook登录的恶意应用，也可以自动访问敏感信息。”

Google以及受到影响的密码管理器已经收到了有关AutoSpill漏洞的通知，其中1Password已经承诺会修复这一漏洞。1Password首席技术官Pedro Canahuati表示：“虽然修复将进一步加强我们的安全防护，但1Password的自动填充功能设计为需要用户明确操作。此次更新将在防止原生字段被填充仅用于Android WebView的凭证方面，提供额外保护。”

白鲸加速器官网受影响的密码管理器修复状态1Password已承诺修复Keeper待修复LastPass待修复Enpass待修复

总之，用户在使用移动密码管理器时应当保持警惕，以避免敏感信息的泄露。对于开发者，及时更新修复漏洞是加强用户安全的重要步骤。