Android向けの複数のパスワードマネージャーに影響する脆弱性「AutoSpill」が発見された。この脆弱性により認証情報が漏えいする懸念が出ているという。この脆弱性は、Androidが「WebView」を介してログインページを呼び出す際に発生する。WebViewがアプリに呼び出されたウェブページのコンテンツを表示するため、パスワードマネージャーを利用する際に認証情報がWebViewだけでなくアプリにも共有される可能性があるという（AutoSpill[PDF]、CNET Japan）。

報告によれば、影響を受けるパスワードマネージャーには「1Password」「LastPass」「Enpass」「Keeper」「Keepass2Android」が含まれる。さらにJavaScriptインジェクションを介して情報が共有された場合は、「Dashlane」「Google Smart Lock」も影響を受ける可能性があるとしている。

この脆弱性は、フィッシングや悪意のあるアプリ内コードを必要としないため、注意が必要だとしている。ただし、報告されたテストは「Pocophone F1」、サムスンの「Galaxy Tab S6 Lite」と「Galaxy A52」と「Android 10」（2020年12月のセキュリティパッチ適用）、「Android 11」（2022年1月のセキュリティパッチ適用）、「Android 12」（2022年4月のセキュリティパッチ適用）という古いAndroid環境で実施されており、最新のAndroidバージョンにおける影響は不透明だとしている。

すべて読む | セキュリティセクション | セキュリティ | OS | ニュース | バグ | Android |

関連ストーリー：
キングジムの「テプラ」やパスワードマネージャーに脆弱性が見つかる 2022年01月20日
2021 年版流出パスワードトップ 200、 世界では「123456」が 1 位、日本では「password」が 1 位 2021年11月21日
カスペルスキー製パスワードマネージャーに脆弱性。同じ時刻に同じパスワードを生成 2021年07月12日
トレンドマイクロの「パスワードマネージャー」に情報漏えいにつながる可能性のある脆弱性 2020年01月20日