<dl id="wqg5j"></dl>

    1. <menuitem id="wqg5j"></menuitem>

      <dl id="wqg5j"><font id="wqg5j"></font></dl>
    2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
    3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
      <li id="wqg5j"><ins id="wqg5j"></ins></li>
      安基網 首頁 資訊 安全報 查看內容

      Android應用程序可“助力”網絡釣魚攻擊

      2018-10-8 10:25| 投稿: lofor |來自: 互聯網


      免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

      摘要: 部分流行的密碼管理器工具驗證合法Android應用程序的方式中的設計Bug可被用于幫助攻擊者對用戶發起成功的網絡釣魚攻擊。意大利熱那亞大學和Eurecom(法國信息和通信技術領域研究中心)的研究人員考查與Android應用程 ...

      部分流行的密碼管理器工具驗證合法Android應用程序的方式中的設計Bug可被用于幫助攻擊者對用戶發起成功的網絡釣魚攻擊。

      意大利熱那亞大學和Eurecom(法國信息和通信技術領域研究中心)的研究人員考查與Android應用程序同步的流行移動密碼工具后得出結論:這些工具驗證應用程序的方式可以讓攻擊者輕松地使用欺騙性應用程序挖掘受害者的憑證信息。

      “我們在一線密碼管理器中發現的設計Bug的數量和各種易受攻擊的啟發式方法表明,本文提供的見解并未得到社區的充分理解。濫用即時應用程序和隱藏字段的可能性使得這些攻擊更成問題,也更具實用性。”

      研究者調查了四款位處一線的第三方移動密碼管理應用——Keeper、Dashlane、LastPass和1Password。許多移動應用程序密碼管理器都有高級同步功能,允許用戶從相關應用程序中同步與網站相關的憑證。這些特性利用應用程序包名稱作為主要抽象來標識應用程序及其關聯網站。

      然而,這就是問題所在:即使應用程序不是真正的合法應用程序,某些應用程序也會錯誤地信任應用程序包名稱(或其他元數據)。因此,惡意應用程序可能會系統地誘使密碼管理器泄漏與任意攻擊者選擇的網站相關聯的憑據。

      在與移動密碼管理器同步時,攻擊者可以偽裝應用程序的應用程序包名稱,并模仿合法應用程序。然后,管理人員將使用該應用包名作為識別應用程序的主要方式(無需其他驗證) 為攻擊者輕松獲取密碼鋪平了道路。這些攻擊有效地使移動網絡釣魚變得更加實用,用戶甚至不需要輸入憑證。

      開發方回應

      LastPass負責人LogMeIn告訴媒體,問題的應對措施已經發布,現在應用程序現在需要明確的用戶批準才能填寫任何未知的應用程序。Keeper和LogMeIn都回應他們沒有任何敏感用戶數據被泄露或通過他們的平臺發起網絡釣魚攻擊的跡象。

      1Passwor發言人表示,該公司正在通過“保護隱私的方式”實施數字資產鏈接來緩解這一問題.Android數字資產鏈接使應用程序能夠公開,可驗證其他應用程序的聲明,使其更加透明地了解哪些應用程序是合法的。DashLane則沒有回應媒體。

      更安全的API設想

      研究人員表示,應用程序同步機制中的關鍵問題是應用程序使用程序包名稱作為其主要驗證方法,不過這給開發人員帶來了不小的挑戰——需要將應用程序映射到相關的域名。但鑒于在管理器中發現的安全問題和錯誤信任假設的數量,他們認為不應該要求第三方開發人員實施這個關鍵步驟。

      他們為此提出了一種新的安全設計API概念,通過使用域名作為密碼管理器需要與之交互的唯一定義來實現安全設計機制,基本上可以直接提供給定應用程序與密碼管理器和其他工具合法關聯的域名列表。

       

      本文由 黑客視界 綜合網絡整理,圖片源自網絡;轉載請注明“轉自黑客視界”,并附上鏈接。


      Tag標簽:

      小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

      本文出自:https://www.hackeye.net/securityevent/16590.aspx

      免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


      鮮花

      握手

      雷人

      路過

      雞蛋

      相關閱讀

      最新評論

       最新
      返回頂部
      玄机图
      <dl id="wqg5j"></dl>

        1. <menuitem id="wqg5j"></menuitem>

          <dl id="wqg5j"><font id="wqg5j"></font></dl>
        2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
        3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
          <li id="wqg5j"><ins id="wqg5j"></ins></li>
          <dl id="wqg5j"></dl>

            1. <menuitem id="wqg5j"></menuitem>

              <dl id="wqg5j"><font id="wqg5j"></font></dl>
            2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
            3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
              <li id="wqg5j"><ins id="wqg5j"></ins></li>