ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全新闻 → Android应用程序网络钓鱼攻击

Android应用程序网络钓鱼攻击

时间:2018-10-09 00:00:00人气:作者:本站作者我要评论

Android应用程序网络钓鱼攻击

部分流行的密码管理器工具验证合法Android应用程序的方式中的设计Bug可被用于帮助攻击者对用户发起成功的网络钓鱼攻击。

意大利热那亚大学和Eurecom(法国信息和通信技术领域研究中心)的研究人员考查与Android应用程序同步的流行移动密码工具后得出结论:这些工具验证应用程序的方式可以让攻击者轻松地使用欺骗性应用程序挖掘受害者的凭证信息。

“我们在一线密码管理器中发现的设计Bug的数量和各种易受攻击的启发式方法表明,本文提供的见解并未得到社区的充分理解。滥用即时应用程序和隐藏字段的可能性使得这些攻击更成问题,也更具实用性。”

研究者调查了四款位处一线的第三方移动密码管理应用——Keeper、Dashlane、LastPass和1Password。许多移动应用程序密码管理器都有高级同步功能,允许用户从相关应用程序中同步与网站相关的凭证。这些特性利用应用程序包名称作为主要抽象来标识应用程序及其关联网站。

然而,这就是问题所在:即使应用程序不是真正的合法应用程序,某些应用程序也会错误地信任应用程序包名称(或其他元数据)。因此,恶意应用程序可能会系统地诱使密码管理器泄漏与任意攻击者选择的网站相关联的凭据。

在与移动密码管理器同步时,攻击者可以伪装应用程序的应用程序包名称,并模仿合法应用程序。然后,管理人员将使用该应用包名作为识别应用程序的主要方式(无需其他验证) 为攻击者轻松获取密码铺平了道路。这些攻击有效地使移动网络钓鱼变得更加实用,用户甚至不需要输入凭证。

开发方回应

LastPass负责人LogMeIn告诉媒体,问题的应对措施已经发布,现在应用程序现在需要明确的用户批准才能填写任何未知的应用程序。Keeper和LogMeIn都回应他们没有任何敏感用户数据被泄露或通过他们的平台发起网络钓鱼攻击的迹象。

1Passwor发言人表示,该公司正在通过“保护隐私的方式”实施数字资产链接来缓解这一问题.Android数字资产链接使应用程序能够公开,可验证其他应用程序的声明,使其更加透明地了解哪些应用程序是合法的。DashLane则没有回应媒体。

更安全的API设想

研究人员表示,应用程序同步机制中的关键问题是应用程序使用程序包名称作为其主要验证方法,不过这给开发人员带来了不小的挑战——需要将应用程序映射到相关的域名。但鉴于在管理器中发现的安全问题和错误信任假设的数量,他们认为不应该要求第三方开发人员实施这个关键步骤。

他们为此提出了一种新的安全设计API概念,通过使用域名作为密码管理器需要与之交互的唯一定义来实现安全设计机制,基本上可以直接提供给定应用程序与密码管理器和其他工具合法关联的域名列表。

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网