¿Qué modelos de amenazas y ataques conocidos actualmente contra administradores de contraseñas en línea y / o sin conexión existen, que no se basan en el comportamiento de CSRF, XSS o autocompletar?
He encontrado dos publicaciones de usenix.org aquí y aquí que muestran una explicación detallada de los casos mencionados anteriormente.
Apreciaría las respuestas, que se basan en la investigación actual sobre los administradores de contraseñas de uso común (independientemente del sistema operativo). El modelo de amenaza o ataque puede usar CSRF, XSS o autocompletar, pero no debe ser el principal vector de ataque o usar un enfoque completamente diferente de estos, que en los documentos vinculados.
Estoy abierto a todas las sugerencias, incluida la autopromoción de la investigación. El objetivo de esta pregunta no es permitirle realizar la búsqueda de publicaciones, es solo respuestas en caso de que ya conozca estos ataques y desee compartir esta información.