Шесть самых популярных менеджеров паролей для Android утекают данные
Шесть наиболее востребованных менеджеров паролей для Android сталкиваются с утечкой данных
![Person typing on a keyboard in a red-lit room.](https://tech.miximages.com/www.zdnet.com/a/img/resize/10324f9f673ac44e6f340b2395ab147ca406ab8c/2023/12/11/e4039189-672a-413a-ae7b-c8e910cf7f36/redkeys-gettyimages-1465480413.jpg?auto=webp&precrop=2120,1191,x0,y83&width=1280)
Несколько мобильных менеджеров паролей утечки учетных данных пользователей из-за уязвимости, обнаруженной в функциональности автозаполнения приложений Android.
Уязвимость, получившая название AutoSpill, была сообщена командой исследователей из Международного института информационных технологий в Хайдарабаде на конференции Black Hat Europe 2023 на прошлой неделе.
Также: Лучшие менеджеры паролей, чтобы избавить вас от проблем с входом в систему
Уязвимость проявляется, когда Android вызывает страницу входа через WebView. (WebView – это компонент Android, который позволяет просматривать веб-содержимое без открытия веб-браузера.) Когда это происходит, WebView позволяет приложениям Android отображать содержимое соответствующей веб-страницы.
Это все хорошо – если только к миксу не добавляется менеджер паролей: учетные данные, переданные вместе с WebView, также могут быть переданы приложению, которое первоначально запрашивало имя пользователя и пароль. Если приложение-источник доверенное, все должно быть в порядке. Если это приложение недоверено, могут возникнуть большие проблемы.
- Только что появился iOS 17.2. Вот, что нового в большом обновлении ...
- У OnePlus 12 уже что-то не так | ENBLE
- Лучшие MP3-плееры на 2023 год
Затронутыми менеджерами паролей являются 1Password, LastPass, Enpass, Keeper и Keepass2Android. Кроме того, если учетные данные были переданы с помощью метода внедрения JavaScript, уязвимости также подвержены DashLane и Google Smart Lock.
Также: 5 быстрых советов для усиления безопасности вашего Android-телефона
Из-за характера этой уязвимости не требуется ни рыболовства, ни злонамеренного кода в приложении.
Одно, что следует помнить, это то, что исследователи проверяли это на устаревшего оборудования и программном обеспечении.
В частности, они проводили тесты на трех устройствах: Poco F1, Samsung Galaxy Tab S6 Lite и Samsung Galaxy A52. Версии Android, использованные в их тестировании, были Android 0 (с декабрьским патчем безопасности 2020 года), Android 11 (с январским патчем безопасности 2022 года) и Android 12 (с апрельским патчем безопасности 2022 года).
Так как эти тестовые устройства, а также ОС и патчи безопасности, были устаревшими, трудно сказать наверняка, повлияет ли уязвимость на более новые версии Android.
Однако, даже если вы используете устройство, отличное от протестированного группой, это не означает, что эту уязвимость следует игнорировать. Скорее, это должно служить напоминанием всегда поддерживать вашу ОС Android и установленные приложения в актуальном состоянии. Система WebView всегда находилась под наблюдением и обновления для этого программного обеспечения всегда должны быть установлены. Для этого вы можете открыть Google Play Маркет на своем устройстве, найти WebView, нажать «Об этом приложении» и сравнить последнюю версию с версией, установленной на вашем устройстве. Если они не совпадают, вам следует обновиться.
Одним из лучших способов обеспечить безопасность Android является постоянное поддержание его в актуальном состоянии. Ежедневно проверяйте наличие обновлений ОС и приложений и устанавливайте все доступные.