1: 名無しさん@涙目です。(京都府) [ニダ] 2023/12/12(火) 17:27:07.77 ID:0vgjgyhl0 BE:811571704-2BP(2072)
sssp://img.5ch.net/ico/syobo1.gif
https://japan.cnet.com/article/35212657/
https://japan.cnet.com/article/35212657/
複数の「Android」向けパスワードマネージャーに影響する、認証情報の漏えいにつながる恐れのある脆弱性が明らかになった。
AutoSpillは、Androidが「WebView」経由でログインページを呼び出す際に問題となる(WebViewは、ウェブブラウザーを開かなくても、アプリにウェブコンテンツを表示できるようにするOSの機能)。その場合、WebViewによって、アプリは呼び出されたウェブページのコンテンツを表示する。
その際にパスワードマネージャーを利用した場合、認証情報がWebViewだけでなく、アプリにも共有される可能性があるという。研究チームは、アプリのログインに外部サービスのアカウント情報を利用する場合を、例として挙げている。
この脆弱性の影響を受けるパスワードマネージャーは、「1Password」「LastPass」「Enpass」「Keeper」「Keepass2Android」だという。また、認証情報がJavaScriptインジェクションを介して共有された場合は、「Dashlane」「Google Smart Lock」も影響を受ける。
この脆弱性の性質上、フィッシングも悪意のあるアプリ内コードも必要としない。
引用元:https://hayabusa9.5ch.net/test/read.cgi/news/1702369627/
続きを読む
Source: ニュー速クオリティ
