<dl id="wqg5j"></dl>

    1. <menuitem id="wqg5j"></menuitem>

      <dl id="wqg5j"><font id="wqg5j"></font></dl>
    2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
    3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
      <li id="wqg5j"><ins id="wqg5j"></ins></li>
      安基网 首页 资讯 安全报 查看内容

      Android应用程序可¡°助力¡±网络钓鱼攻击

      2018-10-8 10:25| 投稿: lofor |来自: 互联网


      免责声明£º本站系公益性非盈利IT技术普及网£¬本文由投稿者转载自互联网的公开文章£¬文末均已注明出处£¬其内容和?#35745;?#29256;权归原网站或作者所有£¬文中所述不代表本站观点£¬若有无意侵权或转载不当之处请从网站右下角联系我们处理£¬谢谢合作£¡

      摘要: 部分流行的密码管理器工具验证合法Android应用程序的方式中的设计Bug可被用于帮助攻击者对用户发起成功的网络钓鱼攻击¡£意大利热那亚大学和Eurecom£¨法国信息和通信技术领域研究?#34892;模?#30340;研究人员考查与Android应用程 ...

      部分流行的密码管理器工具验证合法Android应用程序的方式中的设计Bug可被用于帮助攻击者对用户发起成功的网络钓鱼攻击¡£

      意大利热那亚大学和Eurecom£¨法国信息和通信技术领域研究?#34892;模?#30340;研究人员考查与Android应用程序同步的流行移动密码工具后得出结论£º这些工具验证应用程序的方式可以让攻击者轻松地使用欺骗性应用程序挖掘受害者的凭证信息¡£

      ¡°我们在一线密码管理器中发现的设计Bug的数量和各种?#36164;?#25915;击的启发式方法表明£¬本文提供的见解并未得到社区的充分理解¡£滥用即时应用程序和隐藏字段的可能性使得这些攻击更成问题£¬也更具实用性¡£¡±

      研究者调查了四款位处一线的第三方移动密码管理应用¡ª¡ªKeeper¡¢Dashlane¡¢LastPass和1Password¡£许多移动应用程序密码管理器都有高级同步功能£¬允许用户从相关应用程序中同步与网站相关的凭证¡£这些特性利用应用程序包名称作为主要抽象来标识应用程序及其关联网站¡£

      然而£¬这就是问题所在£º即使应用程序不是真正的合法应用程序£¬某些应用程序?#19981;?#38169;误地信任应用程序包名称£¨或其他元数据£©¡£因此£¬恶意应用程序可能会系统地诱使密码管理器泄漏与任意攻击者选择的网站相关联的凭据¡£

      在与移动密码管理器同步时£¬攻击者可以伪装应用程序的应用程序包名称£¬并模仿合法应用程序¡£然后£¬管理人员将使用该应用包名作为识别应用程序的主要方式£¨无需其他验证£© 为攻击者轻松获取密码铺平了道路¡£这些攻击?#34892;?#22320;使移动网络钓鱼变得更加实用£¬用户甚至不需要输入凭证¡£

      开发方回应

      LastPass负责人LogMeIn告诉媒体£¬问题的应对措施已经发布£¬现在应用程序现在需要明确的用户批准才能填写任何未知的应用程序¡£Keeper和LogMeIn都回应他们没有任何敏感用户数据被泄露或通过他们的平台发起网络钓鱼攻击的迹象¡£

      1Passwor发言人表示£¬该公司正在通过¡°保护隐私的方式¡±实施数字资产链接来?#33322;?#36825;一问题.Android数字资产链接使应用程序能够公开£¬可验证其他应用程序的声明£¬使其更加透明地了解哪些应用程序是合法的¡£DashLane则没有回应媒体¡£

      更安全的API设想

      研究人员表示£¬应用程序同步机制中的关键问题是应用程序使用程序包名称作为其主要验证方法£¬不过这给开发人员带来了不小的挑战¡ª¡ª需要将应用程序?#25104;?#21040;相关的域名¡£但鉴于在管理器中发现的安全问题和错误信任假设的数量£¬他们认为不应该要求第三方开发人员实施这个关键步骤¡£

      他们为此提出了一?#20013;?#30340;安全设计API概念£¬通过使用域名作为密码管理器需要与之交互的唯一定义来实现安全设计机制£¬基本上可以直接提供给定应用程序与密码管理器和其他工具合法关联的域名列表¡£

       

      本文由 黑客视界 综合网络整理£¬?#35745;?#28304;自网络£»转载请注明¡°转自黑客视界?#20445;?#24182;附上链接¡£


      Tag标签:

      小编推荐£º欲学习电脑技术¡¢系统维护¡¢网络管理¡¢编程开发和安全攻防等高端IT技术£¬请 点击这里 注册账号£¬公开课频道价值万元IT培训教程免费学£¬让您少走弯路¡¢事半功倍£¬好工作升职?#26377;„¦?/font>

      本文出自£ºhttps://www.hackeye.net/securityevent/16590.aspx

      免责声明£º本站系公益性非盈利IT技术普及网£¬本文由投稿者转载自互联网的公开文章£¬文末均已注明出处£¬其内容和?#35745;?#29256;权归原网站或作者所有£¬文中所述不代表本站观点£¬若有无意侵权或转载不当之处请从网站右下角联系我们处理£¬谢谢合作£¡


      鲜花

      ?#24080;?/a>

      雷人

      路过

      鸡蛋

      相关阅读

      最新评论

       最新
      返回顶部
      Ðþ»úͼ
      <dl id="wqg5j"></dl>

        1. <menuitem id="wqg5j"></menuitem>

          <dl id="wqg5j"><font id="wqg5j"></font></dl>
        2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
        3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
          <li id="wqg5j"><ins id="wqg5j"></ins></li>
          <dl id="wqg5j"></dl>

            1. <menuitem id="wqg5j"></menuitem>

              <dl id="wqg5j"><font id="wqg5j"></font></dl>
            2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
            3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
              <li id="wqg5j"><ins id="wqg5j"></ins></li>