Менеджер паролей можно обойти посредством зловреда с «безопасным» именем

В Йоркском университете было проведено исследование, которое показало, что не все менеджеры паролей являются надёжным средством обеспечения ИБ.

Специалисты с помощью специально созданного зловреда смогли обмануть одну из первых линий защиты и похитить пароли. Им удалось обойти два из пяти протестированных менеджеров паролей.

ПО использовало слабые критерии как для идентификации легитимных приложений, так и для ввода логина-пароля для автозаполнения. Уязвимость позволила ИБ-исследователям выдать себя за легитимное приложение, просто создав программу с тем же именем.

Некоторые менеджеры паролей в то же время были уязвимы и к брутфорс-атакам, поскольку они не устанавливали ограничение на количество попыток авторизации в учётной записи. То есть у хакеров будет доступ к аккаунту жертвы в течение двух с половиной часов, если он защищён четырехзначным PIN-кодом.

«Наше исследование показывает, что фишинговая атака со стороны вредоносного приложения вполне осуществима. Если жертву путём обмана заставят установить вредоносное приложение, оно сможет представить себя в качестве легитимной программы при запросе на автозаполнения», – пояснили учёные.

Несмотря на результаты исследования, эксперты всё ещё рекомендуют использовать доверенные менеджеры паролей.

19 марта, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.11.2024
«Глонасс»: Видеокамеры в автомобилях могут выдать геопозицию водителя
29.11.2024
Таргетированные информкампании уберегают россиян от скамеров
29.11.2024
YouTube обращается к российским блогерам, но игнорирует Роскомнадзор?
29.11.2024
«Официальные периоды распродаж — это благодатная почва для злоумышленников»
29.11.2024
О последнем (?) сетевом сбое ноября
28.11.2024
AOSP-проблемы: ограничения в модели распространения и настроения Google
28.11.2024
Минцифры строит планы на ближайшие два года по антифрод-направлению
28.11.2024
На телеком-рынке США впервые признали атаку на сети компании
28.11.2024
Конференция Код ИБ ИТОГИ совсем скоро!
28.11.2024
ВШЭ: Навыки для работы с ИИ требуются представителям разных профессий

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных