一些最受欢迎的移动密码管理器存在严重的安全缺陷，可能会给用户带来最严重的问题-泄露他们的凭据。

该漏洞被称为“Autospill”，涉及Android设备上自动填充功能的错误。

它是由国际信息技术研究所(IIIT)Hyperabad的研究人员发现的，他们在最近的黑帽欧洲会议上展示了他们的发现。

当应用程序登录页面加载到WebView中时就会出现问题，WebView是Google的引擎，可让开发人员在应用程序内显示Web内容，而无需进入浏览器。参与研究的研究人员之一AnkitGangwal告诉TechCrunch，这会让密码管理器困惑于在哪里自动填充密码，而且它可能会错误地“将凭据暴露给基础应用程序”。

它应该做的是在应用程序中显示的WebView登录页面中自动填充用户的凭据。Gangwal警告说，这对恶意应用程序构成了重大威胁，因为它们可以利用该缺陷自动获取用户的凭据，而无需运行网络钓鱼活动。

研究人员声称已经测试过该漏洞的密码管理器包括1Password、LastPass、Keeper和Enpass，它们都是最流行、最好的密码管理器。他们还表示，他们使用的Android设备是新的且是最新的。

显然，大多数上述应用程序都容易受到Autospill的攻击，即使JavaScript注入已禁用。然而，一旦启用，它们都容易受到该缺陷的影响。

谷歌和相关密码管理器已收到有关该缺陷的通知。1Password告诉TechCrunch，它将努力修复该缺陷，而Keeper则要求提供该缺陷的视频演示。

KeeperCTOCraigLurey看到后认为，“研究人员首先安装了恶意应用程序，随后接受了Keeper的提示，强制将恶意应用程序与Keeper密码记录关联起来。”

Lurey进一步为Keeper的安全态势进行了辩护，称其“已采取保护措施，防止用户自动将凭据填充到不受信任的应用程序中”。他还建议研究人员与谷歌分享他们的发现，因为这个问题与Android平台特别相关。

LastPass告诉TechCrunch，它已经设置了弹出警告，提醒用户潜在的自动填充危险，但根据研究，它现在将在通知中添加“更多信息性措辞”。

研究人员表示，他们还将在iOS设备上测试该漏洞。