آسیب‌پذیری برنامه‌های مدیریت گذرواژه علیه حملات فیشینگ

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

آسیب‌پذیری برنامه‌های مدیریت گذرواژه علیه حملات فیشینگ
q971
پژوهشگران چندین برنامه مدیریت گذرواژه مبتنی بر اندروید کشف کردند که می‌توانند برای وارد کردن اطلاعات احرازهویت درون برنامه‌های فیشینگ جعلی مورد سوء استفاده قرار گیرند.
برنامه‌های مدیریت گذرواژه برای ایجاد، ذخیره‌سازی، ورود خودکار گذرواژه‌ها درون برنامه‌ها و وبسایت‌ها به کاربرد دارند. علاوه بر این، این برنامه‌ها به کاربران اجازه می‌دهند تا میزان پیچیدگی گذرواژه را مشاهده کنند. کاربرد دیگر این برنامه‌ها، استفاده از آن‌ها برای جلوگیری از حملات فیشینگ از طریق ویژگی autofill یا وارد کردن اطلاعات ورود بصورت خودکار در فرم‌ها در این برنامه است.
طبق پژوهش‌های انجام شده نحوه ورود اطلاعات به وبسایت‌ها با نحوه ورود اطلاعات به برنامه‌ها توسط یک برنامه مدیریت گذرواژه متفاوت است و نحوه ورود اطلاعات به برنامه‌ها پیچیده‌تر و دارای امنیت کمتر است.
نحوه تشخیص یک برنامه سالم از یک برنامه مخرب توسط برنامه‌های مدیریت گذرواژه، مقایسه دامنه وبسایت مربوط به برنامه، با نام بسته برنامه است. نقصی که وجود دارد این است که نام بسته برنامه‌ها قابل جعل است. مهاجم می‌تواند یک برنامه جعلی با نام بسته برنامه مورد نظر ایجاد کند تا از این رو برنامه مدیریت گذرواژه اطلاعات احرازهویت را به آن ارسال کند.
پژوهشگران چندین برنامه مدیریت گذرواژه شناخته شده را کشف کردند که نسبت به این نوع برنامه‌های جعلی آسیب‌پذیر هستند، از جمله LastPass، ۱Password، Dashlane و Keeper. همچنین برنامه Instant App گوگل نیز می‌تواند برای مقاصد فیشینگ مورد سوء استفاده قرار بگیرد. این برنامه گوگل برای اجرای برخی برنامه‌ها بدون نیاز به نصب آنها طراحی شده است. مهاجم می‌تواند از این قابلیت برای اجرای برنامه جعلی استفاده کند.
توصیه شده است تا در صورت وجود نگرانی درباره حملات انجام شده از طریق برنامه‌های مدیریت گذرواژه، ویژگی autofill آنها غیر فعال شود.

منابع:
/https://threatpost.com/android-app-verification-issues-pave-way-for-phishing-attacks/۱۳۷۷۷۴
https://nakedsecurity.sophos.com/۲۰۱۸/۰۹/۲۸/mobile-password-managers-vulnerable-to-phishing-apps/amp


مرجع : مرکز مدیریت راهبردی افتا