您可能也会喜欢
出版
日期:
21 12 月, 2023
写的
Craig Lurey
Keeper Security 对保护用户数据的奉献精神贯穿于我们所做的一切之中。 Keeper® 拥有业内历史最悠久的 SOC 2 和 ISO 27001 认证。 Keeper 符合 GDPR、CCPA 要求,并获得 FedRAMP 和 StateRAMP 授权。 我们致力于保护客户数据,因此 Keeper 采取主动保护措施来保护我们的客户免遭自动将凭证填充到不受信任的应用程序或网站中。
安全研究人员最近的一份报告提出了对名为 AutoSpill 的 Android 漏洞的担忧,该漏洞可能允许密码管理器将凭证填充到不受信任的应用程序中。 Keeper 通过 Bugcrowd 管理的错误赏金和漏洞披露计划 (VDP) 与安全研究社区密切合作。 通过该计划,Keeper 与善意的黑客合作,识别并解决我们网络安全解决方案中的任何问题,并帮助提高整个行业的集体网络安全。
Keeper 最初于 2022 年 5 月 31 日收到研究人员的报告,并要求提供视频来演示所报告的问题。 根据我们的分析,我们确定研究人员首先安装了恶意应用程序,随后接受了 Keeper 的提示警告,强制将恶意应用程序与密码记录关联。 Keeper 的内置保护措施可以防止此类情况的发生。 在 Android 平台上,Keeper 在尝试将凭证自动填充到应用程序或网站时会提示用户。 在填写任何信息之前,系统会要求用户确认应用程序与 Keeper 密码记录的关联。
如下所示的屏幕截图展示了 Keeper 针对上述情况的保护:
只有当用户覆盖其设备上的重要安全设置以旁加载恶意应用程序或从官方 App Store 之外下载危险应用程序时,Keeper 记录与恶意应用程序的关联才会发生。 随后,用户需要明确授权 Keeper 记录与恶意应用程序关联,以自动填充批准的凭证。 2022 年 6 月 29 日,我们向研究人员通报了 Keeper 的软件安全保护情况,并建议他向 Google 提交报告,因为他的担忧特别与 Android 的 WebView 组件相关。
任何密码管理器(包括 Keeper)的用户都应始终遵循一些简单的最佳实践来保护自己:
- 仅通过受信任的网站(例如 Google Play 商店)下载应用程序。 这些应用程序经过提交和批准流程,可防止用户无意中安装恶意软件应用程序。
- 仅将密码保险库中的记录与受信任的应用程序关联。 请勿授权将您的凭证与不受信任的应用程序或站点关联或自动填充。
Keeper 提供了大量的教育资源,帮助每个人提高网络安全保护并遵循最佳实践。 我们始终建议您对安装的应用程序保持谨慎和警惕。
详细了解如何保证智能手机的安全。
