流行手機密碼管理器或因漏洞洩露使用者憑證
漏洞簡介
一項最新的研究指出,在安卓應用程式的自動填充功能中存在漏洞,導致流行的手機密碼管理器可能不慎洩露使用者的憑證。這個漏洞被稱為"AutoSpill",由印度理工學院海得拉巴分校的研究人員發現,他們在本週的黑帽歐洲大會上發表了這一研究。漏洞詳情
研究人員發現,當安卓應用程式在 WebView 中載入登入頁面時,密碼管理器可能因自動填充請求而將使用者的憑證不當地填充到基礎應用程式的本地欄位中,而非預期的在 WebView 中的登入頁面上。可能風險
該漏洞可能導致使用者的機密資訊遭到洩露,尤其在基礎應用程式具有惡意意圖時風險更為嚴重。即使沒有釣魚攻擊,一些惡意應用程式也可以自動存取使用者的敏感訊息。研究結果
研究人員測試了一些最受歡迎的密碼管理器,包括 1Password、LastPass、Keeper 和 Enpass,發現大部分應用程式都存在憑證外洩的風險。研究人員表示他們已經告知了 Google 和受影響的密碼管理器公司有關這一漏洞。企業回應
1Password 的技術長表示他們已經確保了這個問題並正在進行修復。Keeper 公司也回應了有關潛在漏洞的問題,但沒有說明是否已經進行了任何修復。專家評論
這項漏洞對安卓平臺上的密碼管理器產生了重大影響,可能使許多使用者的機密訊息受到威脅。需要密碼管理器公司和 Google 等相關公司儘快採取措施,修復漏洞,保護使用者的資料安全。建議和注意事項
作為使用者,我們應該關注我們所使用的密碼管理器是否存在漏洞,並確保手機系統和應用程式都及時更新到最新版本。同時應注意避免安裝來源不明的應用程式,以減少個人訊息被盜取的風險。安全-手機,密碼管理器,洩露,憑證,安全管理
延伸閱讀
- MWC 2024 :重大公告一覽,包括「無」手機(2a)和 4FYN 獲獎訊息
- 「MWC 2024:Nothing 搶進預算價位,Phone (2a)登場」
- iPhone 使用者應該開啟蘋果的被盜裝置保護功能
- 三星最新的 Galaxy 手機提供即時通話和簡訊翻譯功能
- 用$139,這家新創公司將你的 iPhone 變身為黑莓時代的遺物
- 前 Uber 首席安全官 Joe Sullivan 談為何他「必須克服」對資料違規的震驚
- 小米 14 與 14 Pro 成為首款搭載高通全新晶片組的手機
- 讓我們一起告別小型手機
- Telegram 仍然洩露使用者 IP 位址給聯絡人
- X 計劃使用付款、手機和身份取證來阻止機器人,加上每年僅 1 美元的新費用