有关Android密码管理器的严重漏洞

随着近年来互联网大规模数据泄露事件频发，大量网站用户账户信息被拖库，导致用户需要经常修改密码，提高密码强度，并且在不同网站采用不同密码，这增加了密码的记忆负担，因此安全专家们经常会推荐用户采用密码管理器来管理各种账户密码，但是这样做也存在一个巨大的风险，那就是一旦密码管理器存在安全漏洞，用户的密码面临被一锅端的风险。

其实早在2013年初，就曾有研究者指出，Android平台最流行的21款密码管理器都存在一个严重的安全隐患，同一部手机中安装的其他app，甚至是一些权限不高的app，都可以通过剪贴板功能获取密码管理器中的账户密码信息。

糟糕的是，如今快两年时间过去了，这个安全隐患依然没有消除，最近在Google Play上架的一款app（ClipCaster）可以不费吹灰之力就获取著名密码管理器LastPass管理的密码。

问题的根源在于今天的密码管理器都通过剪贴板来实现网站的一键登录功能，而Android剪贴板的内容向任何权限的app开放，很容易就被嗅探泄密，专家建议Android用户关闭密码管理器的一键登录（表单自动填写）功能。