Nul
Een nieuw academisch onderzoek dat vandaag is gepubliceerd, blijkt dat de Android-gebaseerde wachtwoord managers hebben een harde tijd het onderscheid tussen legitieme en nep-toepassingen, wat leidt tot een gemakkelijk phishing-scenario ‘ s.
Het onderzoek is nagegaan in hoeverre het wachtwoord managers werken op moderne versies van het Android OS, en die van de OS beschikt over aanvallers kunnen misbruiken om het verzamelen van gebruikersgegevens via phishing-aanvallen uitgevoerd via nep, lookalike apps.
Wat het onderzoeksteam vond was dat wachtwoord managers, in eerste instantie is ontwikkeld voor desktop browsers, zijn niet zo veilig als hun desktop-versies.
Het probleem komt van het feit dat de mobiele wachtwoord managers hebben een harde tijd het koppelen van een gebruiker opgeslagen website referenties met een mobiele applicatie en het maken van een link tussen de website en een officiële app.
CNET: De beste wachtwoord managers voor 2018
De meeste wachtwoord managers gebruiken een Android-app is de naam van het package om verbinding te maken met een real-world website URL, en koppelt u de referenties van de gebruiker voor die website met een mobiele app.
Maar binnen het Android ecosysteem, pakket namen zijn niet te vertrouwen, als ze kunnen worden vervalst door een kwaadaardige acteur heel gemakkelijk. Dit leidt tot situaties waarin een kwaadaardige app kunt de truc van een mobiel wachtwoord manager in te koppelen met een legitieme website.
Bijvoorbeeld, wanneer een gebruiker opent een kwaadaardige app en de app vraagt om inloggegevens, wachtwoord managers die bedrogen wordt door de nep-app package-naam zal suggereren de aanmeldingsgegevens voor een legitieme service, zodat de nep-app voor het verzamelen van de gebruiker de gebruikersnaam en het wachtwoord voor later (ab)gebruiken.
In de afbeelding hierboven, de nep-app maakt gebruik van een generieke GEBRUIKERSINTERFACE, maar in de echte wereld, aanvallers vrijwel zeker gebruik maken van apps die in de buurt van identieke klonen van legitieme apps, om een pixel niveau van nauwkeurigheid.
Zelfs als een gebruiker zou kunnen hebben verdachte over een app authenticiteit, wanneer een vertrouwde password manager stelt voor om de auto-vul de inloggegevens, dan is dit misschien het laatste stukje dat kan soms druk gebruikers te laten denken dat de nep-app is, in feite, echt, wanneer hij niet.
Onderzoekers zeggen dat ze getest op de manier waarop vijf Android wachtwoord managers maken van interne kaarten (verbindingen) tussen een lokaal geïnstalleerde app en legitieme internet sites en vond dat vier van de vijf waren kwetsbaar voor misbruik.
Android-versies van password managers van de Keeper, Dashlane, LastPass, en 1Password bleken te zijn kwetsbaar en hebben gevraagd of de gebruiker de auto-fill referenties op nep-apps tijdens de tests. De onderzoekers vonden dat Google ‘ s Smart Lock app niet vallen voor deze nep-pakket naam truc, en de reden was omdat het gebruik van een systeem genaamd Digital Asset Links te verifiëren en sluit apps tot een bepaalde online dienst.
Maar het onderzoek niet stoppen hier. Wetenschappers ook gekeken naar wat er gebeurt nadat een kwaadaardige Android-app trucs een wachtwoord manager in het denken, het is legitiem.
Het team vond dat het wachtwoord managers niet vinden het verdacht dat sommige login formulieren gebruik van 0,01 transparantie-instellingen –waardoor login formulieren in de buurt van onzichtbare– en zij zou het automatisch invullen van de referenties binnen deze vormen.
Ook het wachtwoord van de managers zou ook in te vullen wachtwoorden binnen apps die komen met een login formulieren ontworpen voor gebruik met dezelfde achtergrond en voorgrond kleur de vormen mengen in de app achtergrond, en ook in de aanmeldings-formulieren met super minuscule afmetingen van 1dp x 1dp.
Op de top van deze, password managers zouden ook automatisch invullen van de referenties binnen inloggen vormen voor apps geladen via een nieuwe Google-technologie met de naam Instant Apps die gebruikers in staat stelt om te testen apps die voor een korte tijd.
Onderzoekers stellen dat een app wordt geladen als een (tijdelijke) Instant-App op de zwarte lijst staan op een wachtwoord manager lijst omdat deze technologie wordt gebruikt voor de voorvertoning van de apps, en de meeste van deze apps zal niet lang leven op het apparaat van de gebruiker, vandaar wachtwoord managers mag nooit vertrouwen deze apps, ongeacht de package-naam.
TechRepublic: Hoe te installeren en gebruiken van de PassFF Firefox password manager
Het onderzoeksteam zegt dat ze contact opgenomen met de bedrijven achter alle geteste wachtwoord managers apps met hun bevindingen.
“Ze waren erg professioneel in de behandeling van de zaak,” zei Yanick Fratantonio, een van de onderzoekers achter het onderzoek. “Sommige van hen hebben hun eigen blog posts over deze bevindingen.”
Als de onderzoeker verwacht, sommigen van hen deden. De Keeper team publiceerde een blog post met informatie over hoe ze het probleem opgelost, terwijl een LastPass woordvoerder verstrekt ZDNet met de volgende instructie.
Dit beveiligingslek in Android-app-ecosysteem werd onder onze aandacht gebracht door de Universiteit van Genua, Italië, en EURECOM onderzoekers via onze Bug Bounty ‘ Programma. Terwijl de voortdurende inspanningen van het web en Android gemeenschappen zal ook nodig zijn, hebben we reeds geïmplementeerd wijzigingen aan ons LastPass voor Android app om te verzachten en het minimaliseren van het risico van de mogelijke aanval beschreven in dit rapport. Onze app nu vereist de uitdrukkelijke toestemming van de gebruiker toestemming voor het vullen van een onbekend apps, en we hebben het verhoogd de integriteit van onze app verenigingen database om te minimaliseren van het risico van een “nep-apps” gevuld te zijn/worden geaccepteerd. Op dit moment hebben we geen enkele aanwijzing of reden om te geloven dat elke gevoelige LastPass gegevens van de gebruiker in gevaar is gebracht. Zoals altijd, het leveren van een beveiligde service voor onze gebruikers blijft onze hoogste prioriteit en we zullen blijven samenwerken met de veiligheid van de gemeenschap om te reageren en oplossen van potentiële kwetsbaarheid rapporten zo snel mogelijk.
Fratantonio ook zegt het onderzoeksteam contact opgenomen met Google met hun onderzoek en verstrekt “een nieuwe getVerifiedDomainNames () – API, die bouwt op DAL-items” ze hopen dat Google zal in het Android OS te verbeteren app verificatie procedures.
Laatste maar niet de minste, het onderzoeksteam raadt ontwikkelaars van legitieme apps te implementeren DAL inzendingen voor apps en websites. Deze DAL-items zullen helpen wachtwoord managers en andere Android apps voor het controleren van de identiteit van de third-party apps in de toekomst en voorkomen dat schadelijke apps uit het gebruik van valse pakket naam en andere persoonlijke gegevens.
Meer details over dit onderzoek zijn beschikbaar in een witboek, dat vandaag is gepubliceerd door onderzoekers van de Universiteit van Genua, Italië, en EURECOM, een franse cyber-security bedrijf. Het papier van de naam is ‘ Phishing Aanvallen op Moderne Android.”
UPDATE:
Verwante dekking:
Android spyware in ontwikkeling plunders WhatsApp-gegevens, eigen conversationsNew Linux ‘Mutageen Astronomie’ lek effecten Red Hat, CentOS distrosFrench cyber-security agency open bronnen CLIP OS, een security gehard OSCisco: Linux kernel FragmentSmack bug nu van invloed op 88 van onze productsFirefox bug crasht uw browser en soms uw PC
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0