В Йоркском университете было проведено исследование, которое показало, что не все менеджеры паролей являются надёжным средством обеспечения ИБ.
Специалисты с помощью специально созданного зловреда смогли обмануть одну из первых линий защиты и похитить пароли. Им удалось обойти два из пяти протестированных менеджеров паролей.
ПО использовало слабые критерии как для идентификации легитимных приложений, так и для ввода логина-пароля для автозаполнения. Уязвимость позволила ИБ-исследователям выдать себя за легитимное приложение, просто создав программу с тем же именем.
Некоторые менеджеры паролей в то же время были уязвимы и к брутфорс-атакам, поскольку они не устанавливали ограничение на количество попыток авторизации в учётной записи. То есть у хакеров будет доступ к аккаунту жертвы в течение двух с половиной часов, если он защищён четырехзначным PIN-кодом.
«Наше исследование показывает, что фишинговая атака со стороны вредоносного приложения вполне осуществима. Если жертву путём обмана заставят установить вредоносное приложение, оно сможет представить себя в качестве легитимной программы при запросе на автозаполнения», – пояснили учёные.
Несмотря на результаты исследования, эксперты всё ещё рекомендуют использовать доверенные менеджеры паролей.