Zero
Un nuovo studio accademico, pubblicato oggi, rivela che Android basato su password manager hanno un tempo difficile distinguere tra legittimi e applicazioni falsi, leader di facile phishing scenari.
Lo studio ha esaminato come gestori di password lavorare su versioni moderne del sistema operativo Android, e che le caratteristiche del sistema operativo attaccanti possibile abuso di raccogliere le credenziali dell’utente tramite attacchi di phishing effettuato tramite falsi, la sosia di applicazioni.
Ciò che il team di ricerca ha scoperto che il password manager, inizialmente sviluppato per i browser desktop, non sono così sicuro come loro versioni desktop.
Il problema deriva dal fatto che la password mobile i dirigenti hanno un momento difficile associare un utente memorizzati sito con le credenziali di una applicazione mobile e quindi la creazione di un link tra il sito web e un’app ufficiale.
CNET: Il miglior password manager per il 2018
Più la password manager Android app nome del pacchetto per stabilire una connessione a un sito web, l’URL, e quindi associare le credenziali dell’utente per il sito web con un app mobile.
Ma all’interno dell’ecosistema Android, nomi di pacchetto non può essere attendibile, in quanto possono essere viziata da un malintenzionato attore abbastanza facilmente. Questo porta a situazioni in cui un’app malevola può ingannare un mobile password manager in associazione con un sito web legittimo.
Per esempio, quando un utente apre un’applicazione dannosa e l’applicazione richiede le credenziali di login, password manager che ottenere ingannati da falsi app nome del pacchetto suggerirà le credenziali di accesso per un servizio legittimo, consentendo il falso app per raccogliere il nome utente e la password per la successiva (ab)uso.
Nell’immagine sopra, il falso app utilizza un’interfaccia utente generica, ma nel mondo reale, gli aggressori sarebbero quasi certamente utilizzare le applicazioni che sono quasi identiche cloni di applicazioni legittime, a un pixel del livello di precisione.
Anche se un utente potrebbe avere dei sospetti su di un’app autenticità, quando un password manager attendibile suggerisce di compilare automaticamente le credenziali di accesso, questo potrebbe essere il pezzo finale che a volte può spingere gli utenti a pensare il falso app è, infatti, vero, quando non è così.
Dicono i ricercatori hanno testato il modo in cui cinque Android gestori di password creare mappe interne (collegamenti) tra installato localmente app e legittimo siti internet e ha scoperto che quattro dei cinque erano vulnerabili agli abusi.
Le versioni di Android di gestori di password da Custode, Dashlane, LastPass, e 1Password sono stati trovati per essere vulnerabili e hanno richiesto all’utente di compilare automaticamente le credenziali di falsi applicazioni durante le prove. I ricercatori hanno scoperto che Google Smart Lock app non è caduta per questo falso nome del pacchetto trucco, e il motivo era perché ha utilizzato un sistema denominato Digital Asset Link per autenticare e collegare le app per un particolare servizio online.
Ma il lavoro di ricerca non si è fermata qui. Gli accademici hanno visto anche cosa succede dopo un dannoso applicazione per Android trucchi di un gestore di password che pensa di essere legittimo.
Il team ha scoperto che i gestori di password non la trovo sospetto che alcuni moduli di login utilizzare una 0.01 impostazione della trasparenza-che rende moduli di login vicino invisibile, e si auto-fill credenziali all’interno di queste forme.
Allo stesso modo, la password manager sarebbe anche inserire le password all’interno di applicazioni che vengono con moduli di login progettato per utilizzare lo stesso sfondo e colore di primo piano, rendendo le forme si fondono in una app in background, e anche nel form di login con super minuscole dimensioni di 1dp x 1dp.
In cima a questo, la password manager sarebbe anche il riempimento automatico delle credenziali all’interno di moduli di login per applicazioni caricate tramite una nuova tecnologia di Google denominato Instant App che permette agli utenti di testare le applicazioni per un breve lasso di tempo.
I ricercatori sostengono che una qualsiasi app caricato come un (temporaneo) di Immediata Applicazione dovrebbe essere nella lista nera su un password manager della lista, perché questa tecnologia è utilizzata per visualizzare in anteprima le applicazioni, e la maggior parte di queste applicazioni non vivere a lungo sul dispositivo dell’utente, quindi la password manager non dovrebbe mai fidarsi di queste applicazioni, a prescindere dal nome del pacchetto.
TechRepublic: Come installare e utilizzare il PassFF Firefox password manager
Il gruppo di ricerca dice che hanno contattato la società dietro a tutte le testate gestori di password app con i loro risultati.
“Sono stati molto professionali, nella gestione della questione”, ha detto Yanick Fratantonio, uno dei ricercatori dietro lo studio. “Alcuni di loro dovrebbero avere un proprio blog post su questi risultati.”
Come il ricercatore anticipato, alcuni di loro hanno fatto. Il Custode, il team ha pubblicato un post sul blog con le informazioni su come hanno risolto il problema, mentre un LastPass portavoce fornito ZDNet con la seguente dichiarazione.
Questa particolare vulnerabilità in Android app ecosistema è stato portato alla nostra attenzione dall’Università di Genova, Italia, EURECOM ricercatori attraverso il nostro Bug Bounty Program. Mentre continua sforzi dal web e Android comunità sarà anche necessario, abbiamo già implementato le modifiche al nostro LastPass app Android per mitigare e ridurre al minimo il rischio di un potenziale attacco dettagliate nella presente relazione. La nostra app richiede l’esplicita l’approvazione dell’utente prima di procedere al riempimento sconosciuto apps, e abbiamo aumentato l’integrità della nostra app associazioni di database, in modo da minimizzare il rischio di eventuali “falsi apps” essere riempito/accettato. In questo momento, non abbiamo alcuna indicazione o motivo di credere che qualunque sensibili LastPass dati utente è stato compromesso. Come sempre, offrire un servizio sicuro per i nostri utenti rimane la nostra priorità assoluta e continueremo a lavorare con la comunità di sicurezza per rispondere e risolvere i potenziali vulnerabilità rapporti appena possibile.
Fratantonio dice anche il team di ricerca ha contattato Google per una ricerca più fornito “un nuovo getVerifiedDomainNames() API che si basa su voci DAL”, nella speranza di Google includerà nel sistema operativo Android per migliorare l’applicazione delle procedure di verifica.
Ultimo ma non meno importante, il team di ricerca ha inoltre raccomandato che gli sviluppatori di applicazioni legittime implementare DAL non valide per le loro applicazioni e siti web. Questi DAL voci di aiutare i gestori di password e altre applicazioni Android verificare l’identità di applicazioni di terze parti in futuro e prevenire le applicazioni malevoli da sotto falso nome del pacchetto e altri identificatori.
Ulteriori dettagli su questa ricerca, sono disponibili in un libro bianco pubblicato oggi dai ricercatori dell’Università di Genova, Italia, EURECOM, un francese di cyber-sicurezza ditta. La carta è infatti il nome “degli Attacchi di Phishing, Moderno Android”.
AGGIORNAMENTO:
Relativi copertura:
Android spyware in sviluppo saccheggia i dati di WhatsApp, privato conversationsNew Linux ‘Mutageno Astronomia’ falla di sicurezza impatti Red Hat e CentOS distrosFrench cyber-security agency open-sources CLIP OS, una sicurezza temprato OSCisco: Linux kernel FragmentSmack bug colpisce 88 del nostro productsFirefox bug si blocca il browser e a volte il vostro PC
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0