همراه ما باشید
هفته نامه عصر ارتباط
اولیـن و پرتیـراژتـرین هفتـه نـامه ICT کشـور

دسترسی هکرها به پسورد کاربران از طریق ضعف امنیتی برنامه‌های مدیریت گذرواژه

دسترسی هکرها به پسورد کاربران از طریق ضعف امنیتی برنامه‌های مدیریت گذرواژه

پژوهشگران چندین برنامه مدیریت گذرواژه مبتنی بر اندروید کشف کردند که می‌توانند برای وارد کردن اطلاعات احرازهویت درون برنامه‌های فیشینگ جعلی مورد سوءاستفاده قرار گیرند.

به گزارش عصر ارتباط، برنامه‌های مدیریت گذرواژه برای ایجاد، ذخیره‌سازی، ورود خودکار گذرواژه‌ها درون برنامه‌ها و وب‌سایت‌ها کاربرد دارند. علاوه بر این، این برنامه‌ها به کاربران اجازه می‌دهند تا میزان پیچیدگی گذرواژه را مشاهده کنند. کاربرد دیگر این برنامه‌ها، استفاده از آن‌ها برای جلوگیری از حملات فیشینگ از طریق ویژگی autofill یا وارد کردن اطلاعات ورود بصورت خودکار در فرم‌ها در این برنامه است.

طبق پژوهش‌های انجام شده نحوه ورود اطلاعات به وب‌سایت‌ها با نحوه ورود اطلاعات به برنامه‌ها توسط یک برنامه مدیریت گذرواژه متفاوت است و نحوه ورود اطلاعات به برنامه‌ها پیچیده‌تر و دارای امنیت کم‌تری است.

نحوه تشخیص یک برنامه سالم از یک برنامه مخرب توسط برنامه‌های مدیریت گذرواژه، مقایسه دامنه وب‌سایت مربوط به برنامه، با نام بسته برنامه است. نقصی که وجود دارد این است که نام بسته برنامه‌ها قابل جعل است. مهاجم می‌تواند یک برنامه جعلی با نام بسته برنامه مورد نظر ایجاد کند تا از این رو برنامه مدیریت گذرواژه اطلاعات احرازهویت را به آن ارسال کند.

بر اساس اطلاعات سایت افتا، پژوهشگران چندین برنامه مدیریت گذرواژه شناخته شده را کشف کردند که نسبت به این نوع برنامه‌های جعلی آسیب‌پذیر هستند، از جمله LastPass، ۱Password، Dashlane و Keeper. هم‌چنین برنامه Instant App گوگل نیز می‌تواند برای مقاصد فیشینگ مورد سوءاستفاده قرار بگیرد. این برنامه گوگل برای اجرای برخی برنامه‌ها بدون نیاز به نصب آن‌ها طراحی شده است. مهاجم می‌تواند از این قابلیت برای اجرای برنامه جعلی استفاده کند.

توصیه شده است تا درصورت وجود نگرانی درباره حملات انجام شده از طریق برنامه‌های مدیریت گذرواژه، ویژگی autofill آن‌ها غیر فعال شود.

درج دیدگاه

بررسی بازی