自动溢出：对Android密码管理器的有限威胁

快速导读：本文澄清了媒体广泛讨论的自动溢出漏洞。它解释了自动溢出并不是一种攻击，而是Android操作系统中的一组不安全行为，当密码管理器自动填充凭据到第三方应用程序时会出现。本文还强调了自动溢出构成威胁的具体场景以及受影响的密码管理器。

什么是自动溢出？

自动溢出并不是一种攻击，而是Android操作系统中的一组不安全行为。当密码管理器中存储的凭据被自动填充到第三方应用程序中时，这些凭据会暴露给该应用程序。这意味着任何接受登录凭据的应用程序都有可能访问自动填充的凭据。受自动溢出影响的密码管理器包括Google Smart Lock、Dashlane、1Password、LastPass、Enpass、Keepass2Android和Keeper。需要注意的是，其他密码管理器也可能受到影响。

潜在的风险和利用方式

自动溢出在特定场景下构成威胁。其中一种场景是当第三方应用程序允许用户使用不同账户的凭据登录一个账户。这可能违反了访问委托的基本保证。另一个潜在的利用方式是恶意应用程序从受信任的网站加载WebView内容，并提示用户选择凭据。如果用户批准了自动填充提示，凭据不仅可以填充到应用程序的WebView部分，还可以填充到应用程序的本机视图中。此外，恶意应用程序还可以将JavaScript注入到WebView内容中，以复制并发送凭据给攻击者。然而，需要注意的是，自动溢出只会暴露一个自动填充的登录凭据，并且在密码管理器为第三方应用程序开发者或服务管理的账户自动填充凭据时不构成威胁。

澄清自动溢出的范围

与某些媒体报道相反，自动溢出只在特定场景下构成有限的威胁。它只会暴露一个自动填充的登录凭据，并且在密码管理器为第三方应用程序开发者或服务管理的账户自动填充凭据时不构成威胁。了解自动溢出可能被利用的具体场景，并采取必要的预防措施来保护敏感信息非常重要。