如果你在Android手机或平板电脑上使用密码管理器，你需要注意这个漏洞。这个问题是Android本身固有的，但会影响使用剪贴板填写密码的密码管理器。这个漏洞并不是什么新鲜事，也不应该让人感到意外。研究人员早在2013年初就发现了该漏洞，但此后一直没有采取任何措施。但最近，一款名为ClipCaster的应用已经登陆谷歌Play Store，该应用可以嗅出储存在Android剪贴板中的用户名和密码。ClipCaster是这个漏洞存在并起作用的概念的证明。如果受害者的密码被嗅探出来就不需要了。ClipCaster背后除了暴露Android上易受攻击的密码管理器之外，没有其他功能。虽然像LastPass这样的密码管理器会受到影响，但其他不使用剪贴板的密码管理器则不会受到影响。LastPass回应说，这个漏洞不是它自己的应用，而是Android本身的问题。"这是一个任何剪贴板活动的问题[他的重点]并影响任何涉及到剪贴板的密码管理器（100%的密码管理器）-自从安卓系统存在以来，所有密码管理器一直允许你在其他应用程序中输入密码。LastPass首席执行官Joe Siegrist在接受Ars Technica采访时说："这次演示的目标是LastPass，大数据中心，但必须解决整个Android系统。使用自己的浏览器、浏览器扩展或软件键盘的Android密码管理器不受此错误的影响。这意味着LastPass用户可以使用LastPass安全浏览器或软件键盘禁用"自动填充"功能来停止此错误。你也可以只安装可信的应用程序来保护自己，这意味着你可以在googleplay中找到应用程序，手游返利，因为Google会检查这些应用程序是否存在恶意代码。尽管如此，一些恶意应用程序可能会落空，比较便宜的云服务器，所以请用最好的判断。现在也是一个很好的时候安装一个移动防病毒程序，如Lookout或AVG，以监测你的手机漏洞。Android确实有一个名为"沙箱"的安全功能，个人免费云服务器，它会使这种攻击变得毫无用处，云购全球，但它也会阻止密码管理器正常工作。基本上，沙盒将应用程序与其他应用程序的交互隔离开来，保护它不被嗅探。然而，沙箱密码管理器将使应用程序极为有限和难以使用。没有必要担心这个漏洞，但是Google和应用程序开发者应该合作来实现一个修复。只要对你安装的应用做出最好的判断，你应该是安全的。有关如何在线保护自己的更多信息，请参阅我的深入指南。来源：Ars Technica相关故事Detekt在你的电脑上寻找政府间谍软件通过蒸汽聊天传播恶意软件WhatsApp提供端到端用户加密关键的Windows漏洞被隐藏了19年在Twitter上关注我：@lewisleong