在本周舉辦的 Black Hat 黑帽大會上，來自印度海得拉巴大學的三名研究人員公布他們在 Android 平台發現的密碼管理器缺陷，由於安卓平台的自動填充功能，這會導致多款密碼管理器例如 1Password、LastPass、Keeper、Enpass 等泄露用戶的密碼。

這個漏洞被研究人員命名為 AutoSpill，這屬於安卓平台的問題，但第三方密碼管理器也存在問題導致可能泄露數據。

海得拉巴大學的三位研究人員 Ankit Gangwal、Shubham Singh 和 Abhijeet Srivastava 發現，當 Android 應用在 WebView 中加載登錄頁麵時，多數密碼管理器都會 “迷失自我”，不知道應該將用戶的登錄信息填充到哪裏，而是將其憑據暴露給底層應用程序。

這是因為穀歌在 Android 上預裝的 WebView 組件允許第三方開發者在應用程序內部調用 WebView 顯示內容，例如：當一款應用程序支持 Google 或 Facebook 登錄時，用戶點擊使用 Google 登錄，該應用會通過 WebView 加載穀歌賬戶登錄頁麵。

理論上說密碼管理器應該隻將賬戶和密碼提供給穀歌登錄頁麵，但實際上進行自動填充時，密碼管理器會將憑據暴露給發起調用的這款應用程序。

研究人員測試了 1Password、LastPass、Keeper、Enpass 等密碼管理器發現都存在這類自動填充問題，如果啟用了 JavaScript 注入，那麽所有密碼管理器都受影響。

針對該問題研究人員將其通報給穀歌以及密碼管理器開發商們，目前多數開發商都已經回應並表示會加強安全防禦措施。

1Password：我們已經確定並在研究針對 AutoSpill 的修複方案，部署修複方案後有助於繼續提高安全性，但 1Password 的自動填充功能旨在要求采取明確的操作，即將推出的修複方案將對 Android WebView 憑據提供額外的保護。

Keeper：我們正在采取措施防止自動將憑據填充到不受信任的應用程序或沒有獲得用戶明確授權的網站，不過 Keeper 建議穀歌修複該問題，因為這是一個平台問題。

LastPass：在此之前已經部署相應方法例如彈出警告提醒用戶某些不受信任的填充。

穀歌和 Enpass 目前尚未就此事發布回應。研究人員還在針對 iOS 平台進行測試，看看有沒有類似的漏洞。

(责任编辑：楊錦聰)