多款流行安卓密码管理器暴露用户凭证

研究人员周二告警称，多款流行安卓密码管理器遭受严重漏洞影响，可导致用户凭证被泄露。

来自德国的研究人员团队TeamSIK分析了谷歌应用商店中最为流行的安卓密码管理器，包括My Passords、Password Manager、LastPass、Keeper、F-Secure KEY、Dashlane Password Mnager、Keepsafe、Avast Passwords和1Password。它们的安装量都在10万次至5000万次之间。

虽然这些密码管理器号称安全度非常高，但它们至少都含有一个低危、中危或高危漏洞。TeamSIK共发现存在26个问题，其中很多厂商都在收到报告后在一个月内修复。只有Avast未能修复其中的某些安全漏洞。

专家指出，有的app将主密码以明文形式存储或者将加密密钥暴露在代码中。在某些情况下，用户存储的密码可轻易被安装在设备上的恶意app访问并提取。研究人员还认为某些app易受数据残留攻击和剪切板嗅探攻击。而且他们识别出的很多漏洞无需根权限就可被利用。例如，Informaticore的密码管理器中存在多个高危漏洞。虽然将主密码以加密形式存储但加密密钥出现在app的代码中，而且密钥对于所有的用户都是一样的。LastPass中也出现了类似漏洞。

最受欢迎的Keeper和Keepsafe都存在两个中危和低中危漏洞。TeamSIK的分析显示内置网络浏览器和功能如自动填充也可带来安全风险。自动填充可被用于发动“隐藏式钓鱼”攻击。而有些厂商为了更好地支持自动填充密码功能还提供了自家的网络浏览器。殊不知，这样做带来了另外一个漏洞来源。