Auto Sign Tester 测试指南
概要说明
Auto Sign Tester 用于测试在钱包的 WebView 组件中,当 Dapp 自动唤起签名时,钱包是否会在切换到非 WebView 组件的页面后仍然被唤起签名。如果会,则存在钓鱼风险。
漏洞定位
点击页面上的“Enable Ethereum”按钮连接钱包,然后点击“Auto Personal Sign”以每隔 5 秒唤起签名请求。
在离开钱包的 WebView 界面后,如果仍然能够从 Dapp 唤起签名请求,则存在漏洞。
修复方式
建议钱包在用户离开 WebView 界面后不响应来自 WebView 界面的操作。