19/03/20
Специалисты из Йоркского университета (Англия) в ходе своего исследования доказали , что не все менеджеры паролей являются надежным средством обеспечения кибербезопасности.
С помощью специально созданного вредоносного приложения ученые смогли обмануть одну из первых линий защиты от вредоносов и кражи учетных данных и похитить пароли.
Специалистам удалось обмануть два из пяти протестированных менеджеров паролей. Программы использовали слабые критерии как для идентификации легитимных приложений, так и для ввода имени пользователя и пароля для автозаполнения. Уязвимость позволила исследователям выдать себя за легитимное приложение, просто создав «мошенническую программу» с тем же названием.
Как отметили эксперты, некоторые менеджеры паролей также были уязвимы к брутфорс-атакам, поскольку они не устанавливали ограничение на количество попыток авторизации пользователя в учетной записи. Таким образом, преступники могут получить доступ к учетной записи жертвы в течение двух с половиной часов, если она защищена четырехзначным PIN-кодом.
«Наше исследование показывает, что фишинговая атака со стороны вредоносного приложения вполне осуществима. Если жертву путем обмана заставят установить вредоносное приложение, оно сможет представить себя в качестве легитимной программы при запросе на автозаполнения», — пояснили эксперты.
Несмотря на данные результаты исследования, эксперты все еще рекомендуют использовать доверенные менеджеры паролей для обеспечения кибербезопасности, поскольку они остаются более безопасным и удобным вариантом.
