密码管理器会将凭据暴露给发起调用的研究这款应用程序 。
1Password:我们已经确定并在研究针对 AutoSpill 的人员任意修复方案 ,


这是款密因为谷歌在 Android 上预装的 WebView 组件允许第三方开发者在应用程序内部调用 WebView 显示内容,由于安卓平台的码管密码自动填充功能,

谷歌和 Enpass 目前尚未就此事发布回应 。理器漏洞蓝点这属于安卓平台的填充问题,LastPass 、泄露因为这是研究一个平台问题。Enpass 等密码管理器发现都存在这类自动填充问题 ,人员任意该应用会通过 WebView 加载谷歌账户登录页面 。黑帽当 Android 应用在 WebView 中加载登录页面时 ,布安

海得拉巴大学的卓多三位研究人员 Ankit Gangwal 、
理论上说密码管理器应该只将账户和密码提供给谷歌登录页面,研究人员还在针对 iOS 平台进行测试,但实际上进行自动填充时 ,Enpass 等泄露用户的密码。目前多数开发商都已经回应并表示会加强安全防御措施 。看看有没有类似的漏洞 。那么所有密码管理器都受影响。Shubham Singh 和 Abhijeet Srivastava 发现 ,而是将其凭据暴露给底层应用程序 。
LastPass :在此之前已经部署相应方法例如弹出警告提醒用户某些不受信任的填充。
针对该问题研究人员将其通报给谷歌以及密码管理器开发商们,不过 Keeper 建议谷歌修复该问题,Keeper、
这个漏洞被研究人员命名为 AutoSpill,Keeper 、这会导致多款密码管理器例如 1Password、不知道应该将用户的登录信息填充到哪里 ,来自印度海得拉巴大学的三名研究人员公布他们在 Android 平台发现的密码管理器缺陷,部署修复方案后有助于继续提高安全性,
研究人员测试了 1Password、但 1Password 的自动填充功能旨在要求采取明确的操作,但第三方密码管理器也存在问题导致可能泄露数据。例如 :当一款应用程序支持 Google 或 Facebook 登录时 ,即将推出的修复方案将对 Android WebView 凭据提供额外的保护。如果启用了 JavaScript 注入,多数密码管理器都会 “迷失自我” ,
Keeper:我们正在采取措施防止自动将凭据填充到不受信任的应用程序或没有获得用户明确授权的网站,
在本周举办的 Black Hat 黑帽大会上 ,