Noll
En ny studie som publiceras idag visar att Android-baserade lösenord chefer har svårt att skilja mellan legitima och falska applikationer, vilket leder till enkel phishing scenarier.
I undersökningen tittade man på hur chefer lösenord arbete på moderna versioner av Android OS, och som av OS har angripare kan missbruka för att samla in användaruppgifter via phishing-attacker som utförs via falska, lookalike apps.
Vad forskargruppen fann var att chefer lösenord, som ursprungligen utvecklades för desktop-webbläsare, inte är lika säkra som sina stationära versioner.
Problemet kommer från det faktum att mobilt lösenord chefer har svårt associerar en användare lagras webbplats referenser med en mobil applikation och sedan skapa en koppling mellan webbplats och en officiell app.
CNET: bästa chefer lösenord för 2018
De flesta chefer lösenord använder en Android-app är namnet på paketet du vill upprätta en anslutning till en verklig webbplats URL, och sedan koppla användarens autentiseringsuppgifter för att webbplatsen med en mobil app.
Men i androids ekosystem, paket-namn kan inte vara tillförlitliga, eftersom de kan förfalskas genom en skadlig skådespelare helt enkelt. Detta leder till situationer där en skadlig app kan lura en mobil password manager i associerar det med en legitim webbplats.
Till exempel, när en användare öppnar en skadlig app och app begär inloggningsuppgifter, lösenord chefer att bli lurad av falska app-paketet namn kommer att föreslå inloggningsuppgifter för en legitim service, så att den falska app för att samla in användarens användarnamn och lösenord för att senare (ab)använder.
I bilden ovan, den falska app använder en generisk UI, men i den verkliga världen, angripare skulle nästan säkert att använda appar som är nära identiska kloner av legitima appar på en pixel nivå noggrannhet.
Även om en användare har misstänksam om en app äkthet, när en betrodd password manager föreslår att auto-fill inloggningsuppgifter, kan detta vara den sista pusselbiten som ibland kan driva användare till att tro att den falska app är, faktiskt, riktigt, när det är det inte.
Forskare säger att de testat fem sätt Android lösenord chefer skapar inre kartor (anslutningar) mellan en lokalt installerad app och legitima webbplatser på internet och fann att fyra av de fem var utsatta för övergrepp.
Android-versioner av lösenord chefer från Keeper, Dashlane, LastPass, och 1Password befanns vara sårbar och ha uppmanas användaren att auto-fill-inloggningsuppgifter på falska appar under tester. Forskarna fann att Googles Smarta Lås app inte falla för denna falska namnet på paketet trick, och anledningen var för att det används ett system som heter Digital Asset Länkar för att autentisera och ansluta appar till en viss e-tjänst.
Men arbetet stannade inte här. Akademiker har också tittat på vad som händer efter skadliga Android-app trick en password manager för att tro att det är legitimt.
Det visade sig att chefer lösenord inte finner det misstänkt att vissa inloggning former använder en 0.01 öppenhet inställning –vilket gör att logga in blanketter nära osynliga-och de skulle auto-fill-referenser inne i dessa former.
På samma sätt, lösenord chefer skulle också fylla i lösenord inuti appar som kommer med inloggningen former utformad för att använda samma bakgrund och förgrund färger, vilket gör att de former som smälter in i app bakgrund, och också i login-formulär med super minimala dimensioner av 1dp x 1dp.
På toppen av detta, lösenord chefer skulle också auto-fill-referenser inuti inloggning former för att appar som laddas via ett nytt Google-teknik som heter Instant Apps som tillåter användare att testa appar för en kort tid.
Forskare hävdar att någon app som laddas som en (tillfällig) Instant App ska vara svartlistad på ett password manager är listan eftersom denna teknik används för förhandsvisning av appar, och de flesta av dessa program kommer inte att leva länge på användarens enhet, därför lösenord chefer ska aldrig lita på dessa appar, oavsett paketets namn.
TechRepublic: Hur att installera och använda PassFF Firefox password manager
Den forskargrupp säger att de kontaktade företagen bakom alla testade chefer lösenord appar med sina slutsatser.
“De var mycket professionella hantering av ärendet, säger Yanick Fratantonio, en av forskarna bakom studien. “Några av dem bör ha sin egen blogg inlägg om dessa resultat.”
Som forskare väntat, vissa av dem gjorde det. Målvakten team publicerade ett blogginlägg med information om hur de fast frågan medan en LastPass talesperson förutsatt ZDNet med följande uttalande.
Detta är särskilt utsatta i Android app-ekosystem som kommit till vår kännedom av Universitetet i Genua, Italien, och EURECOM forskare genom vår Bug Bounty Program. Samtidigt som fortsatta insatser från webben och Android samhällen kommer också att krävas, har vi redan genomfört förändringar för att våra LastPass Android app för att begränsa och minimera risken för potentiella angrepp närmare i denna rapport. Vår app nu krävs ett uttryckligt godkännande från användare innan du fyller någon okänd apps, och vi har ökat integriteten i vår app föreningar databas i syfte att minimera risken för “falska appar” som fylls eller accepteras. Vid denna tid, vi har inga uppgifter om eller anledning att tro att någon känslig LastPass användardata har äventyrats. Som alltid gäller det att leverera en säker tjänst för våra användare förblir vår högsta prioritet och vi kommer att fortsätta att arbeta med säkerhet samhället att reagera och åtgärda eventuella sårbarhet rapporter så snabbt som möjligt.
Fratantonio säger också forskningen team kontaktade Google med sin forskning och som “en ny getVerifiedDomainNames() API som bygger på DAL poster” som de hoppas att Google kommer att ingå i Android OS för att förbättra app kontroll.
Sist men inte minst, forskargruppen har också rekommenderas att utvecklare av legitima appar genomföra DAL poster för sina appar och webbplatser. Dessa DAL poster som kommer att hjälpa chefer lösenord och andra Android-appar kontrollera identiteten av appar från tredje part i framtiden och förhindra att skadliga program från att använda falska paket namn och andra kännetecken.
Mer information om denna forskning finns i en vitbok som publicerades idag av forskare från Universitetet i Genua, Italien, och EURECOM, en fransk cyber-bevakningsföretag. Tidningens namn är “Phishing Attacker på Moderna Android.”
UPPDATERING:
Relaterade täckning:
Android spionprogram i utveckling plundrar WhatsApp data, privat conversationsNew Linux “Mutagen Astronomi” säkerhetsbrist påverkan Red Hat och CentOS distrosFrench cyber-security agency öppna källor KLIPP OS, en säkerhet härdat OSCisco: Linux-kärnan FragmentSmack bugg nu påverkar 88 av våra productsFirefox bugg kraschar din webbläsare och din DATOR ibland
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0