我们对 AutoSpill 的回应
ExpressVPN 对 AutoSpill 漏洞的回应
本月早些时候,发表了一篇关于密码管理器的漏洞论文。以下是我们为保护用户所做的工作。
ExpressVPN 新闻3 分钟21122023
撰文
Samuel Bultez
审核
Aaron Engel
最后更新于
27022024
审核
Aaron Engel
最后更新
27022024
分享到 Facebook分享到 Twitter分享到 Whatsapp分享到 Telegram通过电子邮件分享
最近,海得拉巴国际信息技术学院的研究人员发现了一种名为“AutoSpill”的Android密码管理器漏洞。该漏洞在黑帽欧洲大会上发表,涉及七款密码管理器的Android应用可能会泄露用户凭据。
尽管 ExpressVPN Keys 并不是研究论文中提到的七款密码管理器之一,但我们仍采取了主动措施进行内部测试,确保我们的用户免受研究人员发现的所有问题的影响。
经过全面评估,我们可以确认该漏洞对 ExpressVPN Keys 的影响微乎其微。我们还对我们的Android应用实施了一些额外改进,以进一步加强我们的安全防护。
什么是 AutoSpill?
AutoSpill 漏洞利用Android设备自动填充功能的缺陷,特别是在应用的登录页面加载到 WebView 控件时。WebView 是 Google 提供的预装默认引擎,使 Android 应用可以在应用内显示网页内容,而无需启动网页浏览器。然而,这导致密码管理器可能产生混淆,错误地处理自动填充操作,从而将用户凭据暴露给第三方应用。完整的 研究论文 提供了关于此漏洞的技术详解。
值得注意的是,AutoSpill 漏洞只能在特定和罕见的条件下被利用。首先,用户设备上必须安装恶意应用,其次,用户必须主动与该应用中可疑的 WebView 进行互动。只有当这两个条件都满足时,漏洞才可能被利用。
我们在 Keys 上的改进
我们已经有两种现有机制来防止凭据盗取威胁:
我们严格要求用户在凭据填充之前进行互动,以便用户始终了解他们正在自动填充的凭据。任何不寻常的情况都会立即引起警觉。我们还要求对凭据填充的域名进行严格检查。特别是,只有当域名与存储在 Keys 中的一致时,我们才会自动填充凭据。如果不一致,将显示警告,并且用户必须确认请求后才能进行凭据填充。我们通过浏览器扩展、Android 和 iOS 上的受信任 API 调用来确定正确的域名,而不是依赖于任何攻击者可篡改的数据。我们在完整的 安全白皮书 中详细说明了这些机制和我们为 Keys 实施的其他安全措施。
然而,在少数应用程序中,我们发现 Keys 会覆盖标准的基于域名的逻辑,而是根据本地应用的域名来自动填充,忽视了 WebView 中实际呈现的域名。虽然这使得 Keys 在某种程度上可能受到 AutoSpill 的影响,但我们想重申,这种情况仅发生在少数几个应用中。在大多数情况下,Keys 会正确识别 WebView 的域名,而不是浏览的域名。
因此,我们得出结论,AutoSpill 漏洞对 Keys 的影响微乎其微。这主要是因为利用该漏洞所需的特定条件:用户设备上必须首先存在恶意应用。这个前提本身就带来了各种安全威胁,使 AutoSpill 属于更广泛的移动安全风险范畴。了解这一点有助于更好地理解该漏洞的背景它并不是孤立的威胁,而是更广泛的移动应用环境中的安全挑战的一部分。
我们已经部署了一项修复措施,防止在所有情况下和应用中出现 AutoSpill即使是为了处理罕见的特殊情况。该更新确保:
对于从 WebView 触发的自动填充请求,我们将在检查 WebDomain 后才建议自动填充 WebView 字段。当用户明确采取行动填充 WebView 字段时,我们将仅填充该字段,防止本地应用字段被意外填充。
对于从本地应用字段触发的自动填充请求,我们只会填充本地输入字段。
此修复于 2023 年 12 月 15 日Android 版本 11211部署,我们鼓励用户更新到最新版本的 Android 应用,以享受最新的安全改进。我们自豪地通过此次更新进一步加强了我们的安全防护,并感谢研究人员将这一问题提请社区关注。
通过最佳VPN保护您的隐私获取 ExpressVPN
30 天退款保证
享受更安全的在线体验,保护隐私获取 ExpressVPN
什么是 VPN
免费加速器Samuel Bultez
Samuel Bultez 是 ExpressVPN 的产品负责人,自 2015 年以来一直在公司工作,领导了多项关键产品功能的推出。这些功能包括我们的密码管理器 ExpressVPN Keys、杀死开关、分流特性等。作为提升用户体验的倡导者,Samuel 在设计 ExpressVPN 直观易用的应用程序方面也起到了重要作用。
喜欢您所阅读的内容吗?为这篇文章点赞。或者分享您的看法!
23
1