当安卓应用程序在 WebView 中加载登录页面时,密码管理器被调用来自动填写凭证时,理想情况下,它应该只自动填写已加载的谷歌或 Facebook 等页面。但研究人员发现,自动填写操作可能会意外地将凭证暴露给底层应用程序。这个漏洞的影响非常大,尤其是在应用程序是恶意程序的情况下。几乎所有的密码管理器,包括 1Password、LastPass、Keeper 和 Enpass,在最新的安卓设备上都存在这个名为 “AutoSpill” 的漏洞。甚至,即使禁用了 JavaScript 注入,大多数密码管理器也容易发生凭据泄漏。该团队还在调查该漏洞是否可以在 iOS 上复制。
(插图:DA/d05324b2-2021-40ba-8d03-023261eea4c0)