Android密码管理器容易受到网络钓鱼应用的攻击

Android密码管理器容易受到网络钓鱼应用的攻击

研究人员发现基于android的密码管理器很难区分合法和虚假的应用程序,从而导致极易受网络钓鱼攻击。

密码管理器可用于创建,存储,输入和自动填充密码到应用程序和网站。除了允许用户保存大量强密码外,密码管理器还可以提供一些防范网络钓鱼的措施—-自动填充功能将在相关联的网站(及其移动应用程序)上输入密码,但不会在其它网站上输入密码。

热那亚大学和EUROCOM 对针对Android网络钓鱼攻击研究探讨了通过移动应用访问服务与通过桌面浏览器上的网站访问服务之间的区别。

在桌面浏览器上,当第一次访问站点时,密码管理器会将其域(由其数字证书验证)和用于访问它的凭据联系起来。

但是,当使用网站凭据登录应用程序时,验证应用程序的过程会更复杂,而且可能不太安全。

密码管理器辨别应用程序的主要方式是将该应用程序的网站域与应用程序包名称相关联,使用静态或启发式生成的联系检查元数据ID。

这么做的缺陷是软件包名称可以伪造—-攻击者只需用正确的软件包名称创建一个假app,密码管理器就会提供正确的凭据。

研究发现,Keeper、Dashlane、LastPass和1Password的密码管理器都容易受到攻击,只有Google Smart Lock能够抵御攻击(主要不是用作密码管理器)。

研究人员在测试期间发现,谷歌最近推出的即时应用程序也可能被网络钓鱼网站滥用,触发密码管理器自动填充功能。这特别危险,因为这意味着不用安装用正确的软件包名称创建的假app就可以进行网络钓鱼攻击。

研究人员认为:“相比网络和移动设备上所有已知的网络钓鱼攻击,此攻击策略显著降低了攻击门槛。据我们所知,这是第一次没有假设手机上已安装恶意应用的攻击。”

我们可以做什么?

问题在于密码管理器将合法域映射到Android上的应用程序的方式受三个标准的约束—-可访问性服务(a11y)、自动填充框架(Oreo 8.0以后)或OpenYOLO。其中受攻击最严重的是a11y,被恶意应用程序用来滥用管理员权限,从而导致Google实施自动填充框架,并将Dashlane实施为OpenYOLO。不幸的是,所有这三个标准都容易受到软件包名称的操纵,这表明解决这个问题并不容易。

研究人员设计了一个新的API来解决这一问题,它不包含软件包名,支持检查网站域(和子域)与连接到它的应用之间的硬编码关联。

这样做的缺点是,网站需要创建包含这些数据的资产文件,研究人员发现,目前8,000多个样本域中只有2%无法做到。

就目前而言,这使得密码管理器可以自行防御。例如,LastPass就表示它不相信这种缺陷会导致其客户受到损害:我们的应用程序现在需要用户明确批准才能自动填充任何未知应用程序,并且我们已经增强了应用程序关联数据库的完整性,以便最大限度地降低任何虚假应用程序被填充/接受的风险。

使用密码管理器仍然是用户可以采取的最简单,最有效的保障计算机安全的步骤之一。重复使用同一密码比遭受使用虚假应用程序的自动填充攻击更危险。但是,如果用户担心此类攻击或使用隐藏密码字段利用自动填充功能的类似攻击,没必要卸载密码管理器,只需关闭自动填充功能即可。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/114411.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code