Менеджер паролей можно обойти посредством зловреда с «безопасным» именем

В Йоркском университете было проведено исследование, которое показало, что не все менеджеры паролей являются надёжным средством обеспечения ИБ.

Специалисты с помощью специально созданного зловреда смогли обмануть одну из первых линий защиты и похитить пароли. Им удалось обойти два из пяти протестированных менеджеров паролей.

ПО использовало слабые критерии как для идентификации легитимных приложений, так и для ввода логина-пароля для автозаполнения. Уязвимость позволила ИБ-исследователям выдать себя за легитимное приложение, просто создав программу с тем же именем.

Некоторые менеджеры паролей в то же время были уязвимы и к брутфорс-атакам, поскольку они не устанавливали ограничение на количество попыток авторизации в учётной записи. То есть у хакеров будет доступ к аккаунту жертвы в течение двух с половиной часов, если он защищён четырехзначным PIN-кодом.

«Наше исследование показывает, что фишинговая атака со стороны вредоносного приложения вполне осуществима. Если жертву путём обмана заставят установить вредоносное приложение, оно сможет представить себя в качестве легитимной программы при запросе на автозаполнения», – пояснили учёные.

Несмотря на результаты исследования, эксперты всё ещё рекомендуют использовать доверенные менеджеры паролей.

19 марта, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.09.2024
«С учётом латентной преступности»
06.09.2024
ФСТЭК напомнил об организациях, которые могут «обезопасить» кадры
06.09.2024
Стартовали Международные игры по кибербезопасности!
06.09.2024
В России появится ИТ-система защиты прав граждан за полмиллиарда рублей
06.09.2024
Минцифры собирает заявки на ИТ-гранты
05.09.2024
АБР не в восторге от инициативы регулирования рынка рассрочки
05.09.2024
Объявлена программа 11-го Форума ВБА-2024 «Вся банковская автоматизация»
05.09.2024
DumpForums в зените? Хакеры заявили об утечке банковской базы данных
05.09.2024
Минпромторг и Минобрнауки начнут регулярно обмениваться данными
05.09.2024
Найти средство против пандемии кибермошенничества

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных