「Android」向けパスワードマネージャーから認証情報が漏えいする恐れ

複数の「Android」向けパスワードマネージャーに影響する、認証情報の漏えいにつながる恐れのある脆弱性が明らかになった。 この脆弱性「AutoSpill」は、先週開催された「Black Hat Europe 2023」カンファレンスで、国際情報技術大学ハイデラバード校（IIITH）の研究チームによって報告された。 AutoSpillは、Androidが「WebView」経由でログインページを呼び出す際に問題となる（WebViewは、ウェブブラウザーを開かなくても、アプリにウェブコンテンツを表示できるようにするOSの機能）。その場合、WebViewによって、アプリは呼び出されたウェブページのコンテンツを表示する。 その際にパスワードマネージャーを利用した場合、認証情報がWebViewだけでなく、アプリにも共有される可能性があるという。研究チームは、アプリのログインに外部サービスのアカウント

[TsuSUZUKI]

"今回の報告はむしろ、Androidとインストールされているアプリを常に最新の状態に保つよう、注意を喚起するものだ。"

[sasasin_net]

記事で名前の挙がっていないパスワードマネージャーについては、安全を確認したわけではないっぽい

[tmatsuu]

影響を受けるパスワードマネージャは1Password、LastPass、Enpass、Keeper、Keepass2Android。

[poad1010]

この記事をおすすめしました

[ton-boo]

研究チームなんでそんな古いAndroidで研究してるん