• 發布單位:TWCERT/CC
• 更新日期:2023-12-27
• 點閱次數:117

印度海德拉巴國際資訊科技研究所（International Institute of Information Technology, IIIT ）的資安研究人員，近日發現一種新式攻擊方式，命名為 AutoSpill；駭侵者可以透過這種方式，在 Android 手機密碼管理員自動填寫密碼時進行竊取。

研究人員指出，許多 Android 平台上的 app，經常使用 WebView 控制項來顯示網頁內容，例如 app 的登入頁面，而非將用戶導向到系統瀏覽器；這樣雖然可以提高使用者體驗的順暢度，讓使用者不必頻繁切換前景應用程式，但這也給 AutoSpill 帶來可趁之機。

研究人員說，Android 平台上的各種密碼管理工具，在各個 App 出現登入畫面時，也多會使用 WebView 架構來自動輸入使用者儲存下來的帳號與密碼；由於 Android 平台本身對於自動輸入的資料，在架構上就缺少明確的責任歸屬定義，因此這些資料可能被 host 應用程式所攔截。

IIIT 的研究人員指出，據該單位的測試，多數 Android 平台上的密碼管理工具，都無法避免遭到 AutoSpill 竊取密碼；即使沒有任何 JavaScript 指令注入，也無法倖免。包括多種極受歡迎的密碼管理工具如 LastPass 5.11.0.9519、1Password 7.9.4、Enpass 6.8.2.666、Keeper 16.4.3.1048、Keypass2Android 1.90c-r0 都在各種測試中遭到 AutiSpill 成功取得自動填寫的使用者名稱或密碼。

相對的，研究人員也指出，Google Smart Lock 13.30.8.26 和 DashLane 6.2221.3 由於採用了不同方式來自動填寫登入資訊，因此在未有 JavaScript 注入的情形下，不會洩露自動填寫的帳號與密碼。

在各密碼管理工具推出修復 AutoSpill 攻擊的新版本前，Android 使用者應提高警覺，避免自非正常管理下載安裝任何軟體或 APK 檔案，以免登入資訊遭竊。