黑帽大会：多款安卓密码管理器被发现漏洞

在本周举办的 Black Hat 黑帽大会上，来自印度海得拉巴大学的三名研究人员公布他们在 Android 平台发现的密码管理器缺陷，由于安卓平台的自动填充功能，这会导致多款密码管理器例如 1Password、LastPass、Keeper、Enpass 等泄露用户的密码。

这个漏洞被研究人员命名为 AutoSpill，这属于安卓平台的问题，但第三方密码管理器也存在问题导致可能泄露数据。

海得拉巴大学的三位研究人员 Ankit Gangwal、Shubham Singh 和 Abhijeet Srivastava 发现，当 Android 应用在 WebView 中加载登录页面时，多数密码管理器都会 “迷失自我”，不知道应该将用户的登录信息填充到哪里，而是将其凭据暴露给底层应用程序。

这是因为谷歌在 Android 上预装的 WebView 组件允许第三方开发者在应用程序内部调用 WebView 显示内容，例如：当一款应用程序支持 Google 或 Facebook 登录时，用户点击使用 Google 登录，该应用会通过 WebView 加载谷歌账户登录页面。

理论上说密码管理器应该只将账户和密码提供给谷歌登录页面，但实际上进行自动填充时，密码管理器会将凭据暴露给发起调用的这款应用程序。

研究人员测试了 1Password、LastPass、Keeper、Enpass 等密码管理器发现都存在这类自动填充问题，如果启用了 JavaScript 注入，那么所有密码管理器都受影响。

针对该问题研究人员将其通报给谷歌以及密码管理器开发商们，目前多数开发商都已经回应并表示会加强安全防御措施。

1Password：我们已经确定并在研究针对 AutoSpill 的修复方案，部署修复方案后有助于继续提高安全性，但 1Password 的自动填充功能旨在要求采取明确的操作，即将推出的修复方案将对 Android WebView 凭据提供额外的保护。

Keeper：我们正在采取措施防止自动将凭据填充到不受信任的应用程序或没有获得用户明确授权的网站，不过 Keeper 建议谷歌修复该问题，因为这是一个平台问题。

LastPass：在此之前已经部署相应方法例如弹出警告提醒用户某些不受信任的填充。

谷歌和 Enpass 目前尚未就此事发布回应。研究人员还在针对 iOS 平台进行测试，看看有没有类似的漏洞。