يدعي مديرو كلمات المرور أنهم يحتفظون ببيانات اعتماد وصول المستخدم تحت القفل والمفتاح، ولكن هذا ليس هو الحال دائمًا. تم اكتشاف برنامج ضار جديد وتكمن خطورته في قدرته على الكشف عن كلمات المرور التي تحفظها على هاتفك المحمول الذي يعمل بنظام أندرويد. ستستغل البرامج الضارة ثغرة أمنية في الإكمال التلقائي لبيانات اعتماد أندرويد .
وقد أطلق التقرير الذي نشره باحثون من معهد IIIT Hyderabad وكرره موقع TechChrunch على هذه الثغرة الأمنية اسم "AutoSpill". الخطر هائل، ويعرض جميع المستخدمين الذين يقومون بحفظ كلمات المرور على نظام أندرويد أو يستخدمون تطبيقات إدارة كلمات المرور للخطر.على المستوى الفني، تعمل البرامج الضارة عن طريق تجاوز نظام التحقق الأمني. كيف؟ ما تم اكتشافه هو أنه عندما يقوم أحد تطبيقات أندرويد بتحميل صفحة WebView، يمكن توجيه مديري كلمات المرور عمدًا لكشف بيانات اعتماد الوصول في مربعات الإدخال الخاصة بتلك التطبيقات.
يحدث هذا لأنه عند تحميل صفحة بتنسيق WebView، يتمكن المطورون من رؤية محتوى التطبيق لأن الإكمال التلقائي لكلمة المرور يمكن أن "يفسد" ويدخل بيانات الاعتماد داخل التطبيق الأساسي بدلاً من فقط على الصفحة التي تم طلبها في هذا الموقف .
يحدث هذا لأنه عند تحميل صفحة بتنسيق WebView، يتمكن المطورون من رؤية محتوى التطبيق لأن الإكمال التلقائي لكلمة المرور يمكن أن "يفسد" ويدخل بيانات الاعتماد داخل التطبيق الأساسي بدلاً من فقط على الصفحة التي تم طلبها في هذا الموقف .
أوضح مثال هو عندما تريد الوصول إلى تطبيق يسمح بإنشاء ملفات تعريف من خلال خدمات أخرى. على سبيل المثال، عند الدخول إلى تطبيق ما على أندرويد هناك عدة خيارات لبدء التشغيل ومن بينها حساب غوغل . عند تحديد هذه الطريقة، ما يفتح هو نافذة في Google WebView، ويظهر مدير كلمات المرور وبدلاً من إدخال بيانات الاعتماد فقط في هذه النافذة، ما يحدث هو أنه يعرضها للتطبيق الرئيسي.
ومن الناحية المنطقية، فإن المشكلة في هذا هي إساءة الاستخدام التي يمكن أن يمارسها المهاجمون في هذا الموقف. والمثال الواضح على ذلك هو تطبيق ضار يحاكي تسجيل الدخول إلى فيسبوك أو غوغل ، والذي من شأنه أن يترك بيانات اعتماد المستخدمين تُباع دون أن يقوموا بتدوينها أو الوقوع في الفخ، ويكون مدير كلمات المرور هو الخطأ.
لا يسلم أي مدير كلمات مرور خارجي من هذه الثغرة لنظام أندرويد تقريبًا. وفي التحقيق، تم اختبار خدمات مختلفة لحفظ بيانات الاعتماد مثل LastPass أو 1Password، وجميعها متأثرة بهذه البرامج الضارة. الآن علينا فقط أن ننتظر لنرى ما إذا كانت غوغل ستتخذ إجراءً بشأن هذه المسألة.
- إقرأ أيضا : بهذه الطريقة يمكنك رؤية جميع كلمات مرورك المحفوظة على هاتفك المحمول
from حوحو للمعلوميات https://ift.tt/hTdSm47
via IFTTT
0 التعليقات:
إرسال تعليق