1: 名無しさん@涙目です。(京都府) [ニダ] 2023/12/12(火) 17:27:07.77 ID:0vgjgyhl0 BE:811571704-2BP(2072)
https://japan.cnet.com/article/35212657/
複数の「Android」向けパスワードマネージャーに影響する、認証情報の漏えいにつながる恐れのある脆弱性が明らかになった。
AutoSpillは、Androidが「WebView」経由でログインページを呼び出す際に問題となる(WebViewは、ウェブブラウザーを開かなくても、アプリにウェブコンテンツを表示できるようにするOSの機能)。その場合、WebViewによって、アプリは呼び出されたウェブページのコンテンツを表示する。
その際にパスワードマネージャーを利用した場合、認証情報がWebViewだけでなく、アプリにも共有される可能性があるという。研究チームは、アプリのログインに外部サービスのアカウント情報を利用する場合を、例として挙げている。
この脆弱性の影響を受けるパスワードマネージャーは、「1Password」「LastPass」「Enpass」「Keeper」「Keepass2Android」だという。また、認証情報がJavaScriptインジェクションを介して共有された場合は、「Dashlane」「Google Smart Lock」も影響を受ける。
この脆弱性の性質上、フィッシングも悪意のあるアプリ内コードも必要としない。
3: 名無しさん@涙目です。(埼玉県) [BR] 2023/12/12(火) 17:31:31.74 ID:0oHnPgWT0
一例がどうあれ
やってない奴よりやってる奴
5: 名無しさん@涙目です.(東京都) [ニダ] 2023/12/12(火) 17:32:15.88 ID:+dWt7tz90
そんなの使うと絶対にそうなると思ってた
6: 名無しさん@涙目です。(東京都) [GB] 2023/12/12(火) 17:33:59.61 ID:Xf0JqA6O0
だから自動入力は避けてるぞ
8: 名無しさん@涙目です。(やわらか銀行) [BA] 2023/12/12(火) 17:36:00.11 ID:eWIt1t860
メモリにフォルダ掘ってCSV書いて管理
ガラケーの頃からの習慣
9: 名無しさん@涙目です。(埼玉県) [MY] 2023/12/12(火) 17:37:02.81 ID:bWCajDi00
1passwordで32とか64文字のランダム記号入りにしちゃってるから、どのサービスでも覚えてるパスワードなんで殆どねえw
22: 名無しさん@涙目です。(みかか) [US] 2023/12/12(火) 17:41:38.75 ID:5hzq12FG0
>>9
パスワードの文字数制限あるサイトだと1pass使えないんだよな
11: 名無しさん@涙目です。(東京都) [ヌコ] 2023/12/12(火) 17:37:35.47 ID:xO/xrPQB0
かなカナ漢字をパスワードで使えるようにして
19: 名無しさん@涙目です。(大阪府) [SA] 2023/12/12(火) 17:40:48.08 ID:e5ylecfr0
>>11
コードの関係で難しいんだろうけど、文字数も多くすれば文章にして覚えやすくて強度も高いパスワードになるよな
14: 名無しさん@涙目です。(東京都) [KR] 2023/12/12(火) 17:39:39.46 ID:TqNKt7070
もうさ
全部指紋とか網膜でやってくれ
パスワード疲れたわ
21: 名無しさん@涙目です。(大阪府) [SA] 2023/12/12(火) 17:41:35.86 ID:e5ylecfr0
>>14
一応その流れはあるけど普及がまだまだ
77: 名無しさん@涙目です。(庭) [CN] 2023/12/12(火) 19:12:17.28 ID:Mqd+6/GF0
>>14
パスワードに加えて指紋や網膜などの生体認証ならわかるけど、生体認証だけは1要素認証だからセキュリティー激弱だよ
パスワード使い回しよりはマシだけど
28: 名無しさん@涙目です。(ジパング) [US] 2023/12/12(火) 17:50:05.96 ID:Z1MQijIY0
昔はパソコンにパスワード書いた付箋紙貼ってる人が大勢居たな
31: 名無しさん@涙目です。(千葉県) [GB] 2023/12/12(火) 17:51:04.43 ID:gVwoQQbm0
保存パスワードがgoogle、MS、Appleにとっ散らかってるんだよなぁ
45: 名無しさん@涙目です。(東京都) [US] 2023/12/12(火) 18:03:11.60 ID:MK7RGJ1S0
パスキー(FIDO認証)を使えよ
フィッシング被害0だぞ
個人的にはスマホで個人認証が必要なログインとかしないけれどね
PCでkeePass使ってる。こういうのはローカル管理がいいと思う
49: 名無しさん@涙目です。(新日本) [BR] 2023/12/12(火) 18:11:46.49 ID:+RabV/a40
紙が最強だって何度も言っただろ
72: 名無しさん@涙目です。(愛知県) [US] 2023/12/12(火) 18:51:47.90 ID:nhtfHWL30
ネット上にパスワードを保存するという行為に抵抗があって使う気にならない
80: ミン(庭) [KR] 2023/12/12(火) 19:30:54.88 ID:Fh+gGRa/0
これってアプリからWebView呼び出した場合にはパスワードマネージャー未使用でも認証情報読み取れるんじゃね
なぜパスワードマネージャーを利用した場合だけ読み取れるんだ?
91: 名無しさん@涙目です。(みかか) [ニダ] 2023/12/12(火) 20:07:14.05 ID:PTcbr8if0
これ問題起こしたのはグーグルなのにグーグルはごめんなさいしないの?
152: 名無しさん@涙目です。(岐阜県) [DE] 2023/12/13(水) 09:34:49.12 ID:0N3B3qkD0
自動入力記憶までさせてあるとスマホを拾われたらそのままログインされちゃうし
よく使うものは脳内記憶だね
167: 名無しさん@涙目です。(埼玉県) [US] 2023/12/13(水) 12:44:44.76 ID:Ng5U/6g00
泥のKeePass系はKeePassDXってのがあって、そっちは影響受けてないのね
168: 名無しさん@涙目です。(福岡県) [CH] 2023/12/13(水) 16:28:02.76 ID:vQy7L6ua0
Android アプリストアはこれだから
パスワードは頭の中へ
情強「パスワードマネージャ使ってないやつはセキュリティ意識低すぎ!」→お漏らし [811571704] (2ch.sc)
この記事へのコメントはありません。