由于Android应用程序自动填充功能中发现的漏洞，一些移动密码管理器正在泄露用户凭据。海得拉巴国际信息技术研究所的一组研究人员在上周举行的BlackHatEurope2023会议上报告了这一名为AutoSpill的凭证窃取漏洞。

当Android通过WebView调用登录页面时，该漏洞就会发挥作用。(WebView是一个Android组件，无需打开Web浏览器即可查看Web内容。)发生这种情况时，WebView允许Android应用程序显示相关网页的内容。

这一切都很好-除非添加密码管理器：与WebView共享的凭据也可以与最初需要用户名和密码的应用程序共享。如果原始应用程序是受信任的，那么一切都应该没问题。如果该应用程序不受信任，则事情可能会变得非常糟糕。

受影响的密码管理器包括1Password、LastPass、Enpass、Keeper和Keepass2Android。此外，如果通过JavaScript注入方法共享凭据，DashLane和GoogleSmartLock也会受到该漏洞的影响。但值得注意的是，(根据Enpass的RobBlackwelder的说法)该问题已通过2022年9月29日发布的Enpass版本6.8.3进行了修补。因此，如果您使用的该密码管理器的任何版本等于或者更新的版本，您可以免受AutoSpill的影响。此外，1Password的一位代表联系我说正在修复该漏洞。

需要记住的一件事是研究人员在低于当前水平的硬件和软件上对此进行了测试。

具体来说，他们在这三款设备上进行了测试：PocoF1、三星GalaxyTabS6Lite和三星GalaxyA52。他们测试中使用的Android版本是Android0(带有2020年12月安全补丁)、Android11(带有2022年1月安全补丁)和Android12(带有2022年4月安全补丁)。

由于这些经过测试的设备以及操作系统和安全补丁都已过时，因此很难确定该漏洞是否会影响较新版本的Android。

然而，即使您使用的设备与该小组测试的设备不同，也不意味着该漏洞应该被忽视。相反，它应该提醒您始终保持Android操作系统和安装的应用程序处于最新状态。WebView系统始终受到严格审查，并且应始终更新该软件的更新。为此，您可以在设备上打开GooglePlay商店，搜索WebView，点击关于此应用程序，然后将最新版本与设备上安装的版本进行比较。如果它们不相同，您将需要更新。

保证Android安全的最佳方法之一是确保它始终保持最新状态。每天检查操作系统和应用程序更新并应用所有可用的更新。