Kredit:CC0 Public Domain
Nogle kommercielle adgangskodeadministratorer kan være sårbare over for cyberangreb fra falske apps, tyder ny forskning på.
Sikkerhedseksperter anbefaler at bruge en kompleks, tilfældig og unik adgangskode til hver online konto, men at huske dem alle ville være en udfordrende opgave. Det er her adgangskodeadministratorer kommer til nytte.
Krypterede hvælvinger, der tilgås af en enkelt hovedadgangskode eller PIN-kode, de gemmer og udfylder legitimationsoplysninger for brugeren og kommer stærkt anbefalet af Storbritanniens National Cyber Security Centre.
Imidlertid, forskere ved University of York har vist, at nogle kommercielle adgangskodeadministratorer måske ikke er en vandtæt måde at sikre cybersikkerhed på.
Efter at have oprettet en ondsindet app til at efterligne en legitim Google-app, de var i stand til at narre to ud af fem af de adgangskodeadministratorer, de testede, til at give et kodeord væk.
Forskerholdet fandt ud af, at nogle af adgangskodeadministratorerne brugte svage kriterier til at identificere en app og hvilket brugernavn og adgangskode, der skulle foreslås til autofyld. Denne svaghed gjorde det muligt for forskerne at efterligne en legitim app blot ved at oprette en useriøs app med et identisk navn.
Senior forfatter af undersøgelsen, Dr. Siamak Shahandashti fra Institut for Datalogi ved University of York, sagde:"Sårbarheder i adgangskodeadministratorer giver mulighed for hackere at udtrække legitimationsoplysninger, kompromitterende kommerciel information eller krænkelse af medarbejderoplysninger. Fordi de er gatekeepere til en masse følsomme oplysninger, streng sikkerhedsanalyse af adgangskodeadministratorer er afgørende.
"Vores undersøgelse viser, at et phishing-angreb fra en ondsindet app er yderst gennemførligt - hvis et offer bliver narret til at installere en ondsindet app, vil det være i stand til at præsentere sig selv som en legitim mulighed på autofill-prompten og have en høj chance for succes."
"I lyset af sårbarhederne i nogle kommercielle adgangskodeadministratorer har vores undersøgelse afsløret, Vi foreslår, at de skal anvende strengere matchningskriterier, der ikke kun er baseret på en apps påståede pakkenavn."
Forskerne opdagede også, at nogle adgangskodeadministratorer ikke havde en grænse for, hvor mange gange en master-PIN eller adgangskode kunne indtastes. Dette betyder, at hvis hackere havde adgang til en persons enhed, kunne de starte et "brute force"-angreb, gætte en firecifret PIN-kode på omkring 2,5 timer.
Ud over disse nye sårbarheder, forskerne udarbejdede også en liste over tidligere afslørede sårbarheder identificeret i en tidligere undersøgelse og testede, om de var blevet løst. De fandt ud af, at selvom de alvorligste af disse problemer var blevet løst, mange var ikke blevet adresseret.
Forskerne afslørede disse sårbarheder til adgangskodeadministratorerne.
Hovedforfatter af undersøgelsen, Michael Carr, som udførte forskningen, mens han læste til sin kandidatgrad i cybersikkerhed ved Institut for Datalogi, University of York, sagde:"Nye sårbarheder blev fundet gennem omfattende test og ansvarligt afsløret til leverandørerne. Nogle blev rettet med det samme, mens andre blev anset for lav prioritet.
"Mere forskning er nødvendig for at udvikle strenge sikkerhedsmodeller til adgangskodeadministratorer, men vi vil stadig råde enkeltpersoner og virksomheder til at bruge dem, da de forbliver en mere sikker og brugbar mulighed. Selvom det ikke er umuligt, hackere ville være nødt til at iværksætte et ret sofistikeret angreb for at få adgang til den information, de gemmer."
Revisiting Security Vulnerabilities in Commercial Password Managers vil blive præsenteret på den 35. internationale konference om ICT Systems Security and Privacy Protection (IFIP SEC 2020) i september, 2020.