研究人員發(fā)現(xiàn)了密碼管理器的漏洞

最新研究顯示，一些商業(yè)密碼管理器可能容易受到假冒應(yīng)用程序的網(wǎng)絡(luò)攻擊。

安全專家建議為每個在線賬戶使用一個復(fù)雜、隨機(jī)和唯一的密碼，但記住所有密碼將是一項(xiàng)具有挑戰(zhàn)性的任務(wù)。這就是密碼管理器派上用場的地方。

通過單一主密碼或個人識別碼進(jìn)入的加密金庫，它們?yōu)橛脩舸鎯妥詣犹畛鋺{證，并得到英國國家網(wǎng)絡(luò)安全中心(National Cyber Security Centre)的高度推薦。

然而，約克大學(xué)(University of York)的研究人員發(fā)現(xiàn)，一些商業(yè)密碼管理器可能不是確保網(wǎng)絡(luò)安全的無懈可擊的方式。

在創(chuàng)建了一個惡意應(yīng)用程序來冒充一個合法的谷歌應(yīng)用程序后，他們能夠騙過他們測試的5個密碼管理器中的2個，從而泄露了一個密碼。

研究團(tuán)隊(duì)發(fā)現(xiàn)，一些密碼管理器在識別應(yīng)用程序、推薦自動填寫用戶名和密碼時使用了不嚴(yán)格的標(biāo)準(zhǔn)。這一弱點(diǎn)使得研究人員可以通過創(chuàng)建一個同名的流氓應(yīng)用程序來冒充一個合法的應(yīng)用程序。

該研究的資深作者、約克大學(xué)計(jì)算機(jī)科學(xué)系的Siamak Shahandashti博士說:“密碼管理器中的漏洞為黑客提供了獲取憑證、泄露商業(yè)信息或侵犯員工信息的機(jī)會。”由于密碼管理器是大量敏感信息的守門人，因此對密碼管理器進(jìn)行嚴(yán)格的安全分析至關(guān)重要。

“我們的研究表明，惡意應(yīng)用程序發(fā)起的釣魚攻擊是非?？尚械摹绻芎φ弑或_安裝了惡意應(yīng)用程序，它將能夠在自動填充提示上顯示自己是一個合法的選項(xiàng)，并有很高的成功幾率?！?/p>

“鑒于我們的研究暴露出的一些商業(yè)密碼管理器的漏洞，我們建議他們需要應(yīng)用更嚴(yán)格的匹配標(biāo)準(zhǔn)，而不僅僅是基于應(yīng)用程序所聲稱的包名?！?/p>

研究人員還發(fā)現(xiàn)，一些密碼管理器對輸入主密碼或密碼的次數(shù)沒有限制。這意味著，如果黑客能夠訪問個人設(shè)備，他們可以發(fā)動“蠻力”攻擊，在大約2.5小時內(nèi)猜出一個四位數(shù)的密碼。

除了這些新的漏洞外，研究人員還列出了在之前的一項(xiàng)研究中發(fā)現(xiàn)的一系列先前披露的漏洞，并測試這些漏洞是否已經(jīng)解決。他們發(fā)現(xiàn)，雖然這些問題中最嚴(yán)重的問題已經(jīng)得到解決，但還有許多問題沒有得到解決。

研究人員向密碼管理器披露了這些漏洞。

該研究的主要作者邁克爾·卡爾(Michael Carr)在約克大學(xué)(University of York)計(jì)算機(jī)科學(xué)系攻讀網(wǎng)絡(luò)安全碩士學(xué)位期間進(jìn)行了這項(xiàng)研究，他說:“通過大量測試發(fā)現(xiàn)了新的漏洞，并負(fù)責(zé)任地向供應(yīng)商披露了這些漏洞?！逼渲幸恍┍涣⒓葱迯?fù)，而另一些則被視為低優(yōu)先級。

“需要更多的研究來為密碼管理器開發(fā)嚴(yán)格的安全模型，但我們?nèi)匀唤ㄗh個人和公司使用它們，因?yàn)樗鼈內(nèi)匀皇歉踩⒏杏玫倪x擇?！彪m然這不是不可能的，但黑客必須發(fā)起相當(dāng)復(fù)雜的攻擊才能訪問他們存儲的信息?！?/p>

在2020年9月舉行的第35屆國際信息通信技術(shù)系統(tǒng)安全和隱私保護(hù)會議(IFIP SEC 2020)上，將對商業(yè)密碼管理器的安全漏洞進(jìn)行重新審視。