Мобильные менеджеры паролей могут использоваться для фишинга

Мобильные менеджеры паролей могут использоваться для фишинга

Мобильные версии менеджеров паролей оказались не так безопасны по сравнению со своими десктопными вариантами.

Android-версии популярных программ для хранения паролей не способны различать фальшивые и официальные приложения, тем самым создавая новую возможность для проведения фишинговых атак. К такому неутешительному выводу пришли специалисты Университета Генуи (Италия) и французского исследовательского института EURECOM. Эксперты попытались выяснить, как менеджеры паролей работают на устройствах с современными версиями Android и какие функции ОС могут использовать злоумышленники для сбора учетных данных с помощью фишинговых атак через приложения-имитации официальных программ. Как оказалось, мобильные версии менеджеров паролей не так безопасны по сравнению со своими десктопными вариантами.

Одна из проблем связана с функцией Instant Apps в Android, позволяющей пользоваться приложениями без их скачивания и установки (отдельные модули приложения, необходимые пользователю, просто подгружаются из Google Play). По словам исследователей, менеджеры паролей не могут отличить фрагмент приложения, предназначенный для предпросмотра, от полностью загруженной программы. Кроме того, менеджеры не распознают подмененные имена пакетов и записи метаданных, принимая фальшивое приложение за легитимное.

«Подменив имя пакета Instant App атакующий может обмануть менеджер паролей и заставить его автоматически вставить учетные данные для выбранного злоумышленником сайта без необходимости загрузки дополнительного приложения», - пояснили эксперты. Таким образом преступник может заманить жертву на вредоносную страницу.

Любое приложение, загружающееся как Instant App, должно помещаться в черный список менеджера паролей, поскольку данная технология используется для предпросмотра, и программа не будет храниться на устройстве долгое время. Поэтому менеджеры не должны доверять таким приложениям вне зависимости от имени пакета, считают специалисты.

Исследователи проверили пять Android-версий популярных менеджеров паролей - Keeper, Dashlane, LastPass, 1Password и Google Smart Lock. В ходе тестирования первые четыре из них автоматически заполнили форму для ввода учетных данных во вредоносных приложениях. Smart Lock оказался более надежным в связи с тем, что использует систему Digital Asset Links для аутентификации и подключения приложений к сервисам.

Более того, тестируемые менеджеры заполняли формы авторизации с настройками значения прозрачности 0,01 (практически невидимые) и не считали подозрительными окна входа, сливающиеся с фоном приложения или имеющие крохотные размеры (1dp x 1dp).

Команда сообщила о находках разработчикам вышеуказанных менеджеров паролей. Создатели Keeper и LastPass уже внесли в свои продукты необходимые изменения для минимизации риска фишинговых атак.

Подробнее с результатами исследования можно ознакомиться здесь .

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь