Nul
Et nyt studie offentliggjort i dag viser, at Android-baserede password ledere har en hård tid at skelne mellem ægte og falske programmer, der fører til let phishing-scenarier.
Undersøgelsen kiggede på, hvordan adgangskode ledere arbejde på moderne versioner af Android OS, og som af OS har hackere kan misbruge til at indsamle brugeroplysninger via phishing angreb udført via falske, lookalike apps.
Hvad forskerholdet fandt, var, at password ledere, der oprindeligt blev udviklet til desktop browsere, er ikke så sikker som deres desktop versioner.
Problemet kommer fra det faktum, at mobile password ledere har svært ved at knytte en bruger, der er gemt hjemmeside legitimationsoplysninger med en mobil applikation, og derefter at skabe et link mellem denne hjemmeside og en officiel app.
CNET: De bedste password ledere til 2018
De fleste password ledere bruger en Android app ‘ s pakke-navn for at etablere forbindelse til den virkelige verden, hjemmeside URL, og derefter knytte brugerens legitimationsoplysninger for den pågældende hjemmeside med en mobil app.
Men inden for de Android-økosystemet, pakke navne ikke kan have tillid til, som de kan være forfalsket af en ondsindet skuespiller ganske nemt. Dette fører til situationer, hvor en ondsindet app, kan narre en mobil password manager til at knytte det til en legitim hjemmeside.
For eksempel, når en bruger åbner en skadelig app og app ‘ en beder om login, password ledere, at få lokket af falske app pakke navn vil foreslå login legitimationsoplysninger for en legitim service, der giver den falske app til at indsamle brugerens brugernavn og password til senere (ab)brug.
På billedet ovenfor, den falske app bruger en generisk UI, men i den virkelige verden, hackere vil næsten helt sikkert bruge apps, der er næsten identiske kloner af legitime apps, på en pixel niveau nøjagtighed.
Selv hvis en bruger måske har mistanke om, at en app ægthed, når en betroet password manager tyder på, at auto-udfyld login-legitimationsoplysninger, kan dette være den sidste brik, der undertiden kan skubbe brugere til at tro, at den falske app ‘ en er, i virkeligheden, fast, når det er det ikke.
Forskere siger, at de har testet den måde, fem Android adgangskode ledere skabe indre kort (forbindelser) mellem en lokalt installeret app og legitime websteder på internettet og fundet, at fire af de fem blev sårbare over for misbrug.
Android-versioner af password ledere fra Keeper, Dashlane, LastPass, og 1adgangskode blev fundet til at være sårbar og har bedt om brugeren til auto-fill-legitimationsoplysninger på falske apps under test. Forskere har fundet ud af, at Google er Smart Lås app ikke at falde for denne falske pakke navn trick, og årsagen var, fordi det bruges et system ved navn Digital Asset Links til at godkende og oprette forbindelse apps til en bestemt online-tjenesten.
Men forskningen ikke stoppe her. Akademikere har også set på, hvad der sker, når en skadelig Android app tricks en password manager til at tro, det er legitimt.
Holdet fandt, at password ledere ikke kan finde det mistænkeligt, at nogle login former bruge en 0.01 åbenhed indstilling –hvilket gør login former nær usynlig-og de ville auto-fill-legitimationsoplysninger inde i disse former.
På samme måde, password-managers ville også udfylde passwords inde i apps, der kommer med login-formularer, der er designet til at bruge den samme baggrund og forgrund farve, hvilket gør den former blandes ind i app ‘ s baggrund, og også i login-formularer, med super meget små dimensioner af 1dp x 1dp.
På toppen af dette, password ledere ville også auto-fill-legitimationsoplysninger inde login former for apps indlæses via en ny Google-teknologi kaldet Instant Apps, der giver brugerne mulighed for at teste apps for en kort tid.
Forskere hævder, at en app er lagt som en (midlertidig) Instant App ‘en skal være blacklistet på en password manager’ s liste, fordi denne teknologi anvendes for at gennemse apps, og de fleste af disse apps vil ikke leve længe på brugerens enhed, og derfor, adgangskode ledere bør aldrig have tillid til disse apps, uanset pakkens navn.
TechRepublic: Sådan installere og bruge PassFF Firefox password manager
Forskerholdet, der siger, at de kontaktede virksomheder bag alle de testede adgangskode ledere apps med deres resultater.
“De var meget professionelle i deres håndtering af sagen,” sagde Yanick Fratantonio, en af forskerne bag undersøgelsen. “Nogle af dem skulle have deres egen blog indlæg om disse resultater.”
Som forsker forventes, at nogle af dem gjorde. Keeper team offentliggjort en blog-post med oplysninger om, hvordan de har løst problemet, mens en LastPass talsmand forudsat ZDNet med følgende erklæring.
Denne særlige sårbarhed i Android ‘ s app-økosystemet var bragt til vores opmærksomhed ved Universitetet i Genova, Italien, og EURECOM forskere gennem vores Bug Bounty Program. Mens de fortsatte bestræbelser fra web og Android samfund vil også være nødvendigt, har vi allerede implementeret ændringer til vores LastPass Android app til at afhjælpe og minimere risikoen for potentielle angreb er beskrevet i denne rapport. Vores app nu kræver udtrykkelig brugerens godkendelse, før du udfylder alle ukendte apps, og vi har øget integriteten af vores app foreninger database for at minimere risikoen for “fake apps” bliver fyldt/accepteret. På dette tidspunkt, vi har ingen indikation af, eller grund til at antage, at følsomme LastPass brugerdata er blevet kompromitteret. Som altid, levere en sikker tjeneste for vores brugere er vores højeste prioritet og vi vil fortsætte med at arbejde med sikkerhed samfund til at reagere og løse potentielle sårbarhed rapporter så hurtigt som muligt.
Fratantonio siger også, at forskerholdet har kontaktet Google med deres forskning og leveret “en ny getVerifiedDomainNames() API, der bygger på DAL poster”, at de håber, at Google vil medtage i Android OS til at forbedre app kontrol procedurer.
Sidst, men ikke mindst, vil forskerholdet også anbefales, at udviklere af legitime apps gennemføre DAL poster for deres apps og websites. Disse DAL poster vil hjælpe password ledere og andre Android apps for at kontrollere identiteten af tredjeparts-apps i fremtiden og forhindre ondsindede apps fra ved hjælp af falske pakke navn og andre oplysninger.
Flere detaljer om denne forskning er tilgængelige i en hvidbog, der blev offentliggjort i dag af forskere fra University of Genoa, Italien, og EURECOM, en fransk cyber-sikkerhed firma. Avisens navn er “Phishing-Angreb på Moderne Android.”
OPDATERING:
Relaterede dækning:
Android-spyware i udvikling plyndrer WhatsApp data, private conversationsNew Linux ‘Mutagen Astronomi’ sikkerhedshul virkninger Red Hat og CentOS distrosFrench cyber-security agency åbne kilder KLIP OS, en sikkerhed hærdet OSCisco: Linux-kernen FragmentSmack bug nu påvirker 88 af vores productsFirefox fejl, nedbrud din browser og nogle gange din PC
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0