Менеджер паролей можно обойти посредством зловреда с «безопасным» именем

В Йоркском университете было проведено исследование, которое показало, что не все менеджеры паролей являются надёжным средством обеспечения ИБ.

Специалисты с помощью специально созданного зловреда смогли обмануть одну из первых линий защиты и похитить пароли. Им удалось обойти два из пяти протестированных менеджеров паролей.

ПО использовало слабые критерии как для идентификации легитимных приложений, так и для ввода логина-пароля для автозаполнения. Уязвимость позволила ИБ-исследователям выдать себя за легитимное приложение, просто создав программу с тем же именем.

Некоторые менеджеры паролей в то же время были уязвимы и к брутфорс-атакам, поскольку они не устанавливали ограничение на количество попыток авторизации в учётной записи. То есть у хакеров будет доступ к аккаунту жертвы в течение двух с половиной часов, если он защищён четырехзначным PIN-кодом.

«Наше исследование показывает, что фишинговая атака со стороны вредоносного приложения вполне осуществима. Если жертву путём обмана заставят установить вредоносное приложение, оно сможет представить себя в качестве легитимной программы при запросе на автозаполнения», – пояснили учёные.

Несмотря на результаты исследования, эксперты всё ещё рекомендуют использовать доверенные менеджеры паролей.

19 марта, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

16.07.2026
У СБП в Турции возникли первые проблемы
16.07.2026
ООН: Сложность задач, решаемых ИИ-моделями, удваивается каждые 4–7 месяцев
16.07.2026
«Яндекс» подтвердил безопасность всех ИИ-моделей семейства Alice AI
15.07.2026
ЕК подозревают в организации цензуры интернета и всеобщей слежки
15.07.2026
Apple обвинила OpenAI в краже коммерческих секретов
15.07.2026
Подтверждена совместимость ПО АЛЬПА и комплекса InfoDiode
15.07.2026
VK, MAX и СОРМ-поставщики попали под евросанкции
15.07.2026
Данные о регистрации и авторизации — на полку
15.07.2026
Банк России выступил против «тёмных паттернов» геймификации
14.07.2026
Европа требует от Цукерберга поменять архитектуру его платформ

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных