パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Android向けパスワードマネージャーに共通する脆弱性。認証情報が漏えいする恐れ 」記事へのコメント

  • WebViewの親アプリはinputのvalueにアクセスできるものと思っていた。passwordでも。

    • by Anonymous Coward

      どういう条件下だと被害らしい被害に合うんだろうね
      アプリ内でアプリ提供元とは別の所のID・Pass入れる機会って…
      一部のOAuthがそうなのか?

      • by Anonymous Coward

        難しく考えなくても、アプリ内で騙すことなく、本来のサイトを表示してログインさせると、アプリ側からもその内容が見えるよって話。
        別段、パスワードマネージャに限った話じゃなくブラウザで入力したらブラウザにばれるぞってレベルの話だよ。

        WebView経由だと、ブラヴザアプリに見えないような作りにとできるってあたりが注意喚起なのかな?

        • by Anonymous Coward on 2023年12月13日 18時14分 (#4578837)

          パスワードマネージャがWebViewに入れた認証情報をアプリがぶっこ抜くんじゃなくて、パスワードマネージャを騙してアプリのインプットフィールドに認証情報を入れさせるみたいよ。
          https://gigazine.net/news/20231208-android-password-managers-leak-autospill/ [gigazine.net]

          親コメント
          • by Anonymous Coward

            アプリのインプットフィールドってのが、WebViewの正規サイトの画面のことですよ。
            元コメントのとおり、WebViewとしてもパスワードマネージャとしても正規サイトに正規のアカウント情報を流しこんでるだけのまっとうな動作。
            だけど、そのまっとうな動作をさせるアプリを悪意をもって作れば、パスワードも奪えるって話。

            • by Anonymous Coward

              記事リンクにあるPDFの40,41ページ見ると
              Webのインプットフィールドとアプリのインプットフィールドがあってアプリ側にリークする感じぽいですよ

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...