小心密碼被一鍋端,Android密碼管理器爆嚴重漏洞
責編:admin |2014-11-24 16:50:27隨著近年來互聯網大規模數據泄露事件頻發,大量網站用戶賬戶信息被拖庫,導致用戶需要經常修改密碼,提高密碼強度,并且在不同網站采用不同密碼,這增加了密碼的記憶負擔,因此安全專家們經常會推薦用戶采用密碼管理器來管理各種賬戶密碼,但是這樣做也存在一個巨大的風險,那就是一旦密碼管理器存在安全漏洞,用戶的密碼面臨被一鍋端的風險。
其實早在2013年初,就曾有研究者指出,Android平臺最流行的21款密碼管理器都存在一個嚴重的安全隱患,同一部手機中安裝的其他app,甚至是一些權限不高的app,都可以通過剪貼板功能獲取密碼管理器中的賬戶密碼信息。
糟糕的是,如今快兩年時間過去了,這個安全隱患依然沒有消除,最近在Google Play上架的一款app(ClipCaster)可以不費吹灰之力就獲取著名密碼管理器LastPass管理的密碼。
問題的根源在于今天的密碼管理器都通過剪貼板來實現網站的一鍵登錄功能,而Android剪貼板的內容向任何權限的app開放,很容易就被嗅探泄密,專家建議Android用戶關閉密碼管理器的一鍵登錄(表單自動填寫)功能。