研究人员揭露了密码管理器的漏洞

 
新的研究表明，一些商业密码管理者可能容易受到假冒应用程序的网络攻击。
安全专家建议为每个在线帐户使用复杂，随机且唯一的密码，但是记住所有密码将是一项艰巨的任务。那就是密码管理器派上用场的地方。
通过单个主密码或PIN访问加密的保管库，它们为用户存储和自动填充凭据，并得到英国国家网络安全中心的高度推荐。
但是，约克大学的研究人员表明，某些商业密码管理器可能不是确保网络安全的防水方法。
在创建了可模仿合法Google应用程序的恶意应用程序之后，他们能够欺骗测试的五分之二的密码管理器来泄露密码。
研究小组发现，某些密码管理器使用弱标准来识别应用程序以及建议自动填充的用户名和密码。这种弱点使得研究人员可以简单地通过创建具有相同名称的恶意应用来模拟合法应用。
该研究的资深作者，约克大学计算机科学系的Siamak Shahandashti博士说：“密码管理器中的漏洞为黑客提供了机会来提取凭据，破坏商业信息或违反员工信息。很多敏感信息，对密码管理器进行严格的安全分析至关重要。
“我们的研究表明，来自恶意应用程序的网络钓鱼攻击是高度可行的-如果诱骗受害者安装恶意应用程序，它将能够作为自动填充提示上的合法选项出现，并且很有可能获得成功。”
“鉴于我们研究中发现的某些商业密码管理器中的漏洞，我们建议他们需要应用更严格的匹配标准，而不仅仅是基于应用程序声称的程序包名称。”
研究人员还发现，一些密码管理器对输入主PIN或密码的次数没有限制。这意味着，如果黑客可以访问某个人的设备，则他们可以发起“暴力破解”攻击，在大约2.5小时内猜出一个四位数的PIN。
除了这些新漏洞外，研究人员还绘制了先前在研究中发现的先前披露的漏洞列表，并测试了这些漏洞是否已解决。他们发现，尽管已解决了最严重的问题，但许多问题仍未得到解决。
研究人员向密码管理器披露了这些漏洞。
该研究的主要作者迈克尔·卡尔在约克大学计算机科学系攻读网络安全硕士学位时进行了研究。他说：“通过广泛的测试发现了新的漏洞，并以负责任的方式向供应商披露了这些漏洞。有些被立即修复，而另一些被认为是低优先级。
“需要做更多的研究来开发严格的密码管理器安全模型，但我们仍建议个人和公司使用它们，因为它们仍然是一种更安全和可用的选择。尽管并非不可能，但黑客必须对它发起相当复杂的攻击，访问他们存储的信息。”
重新审视商业密码管理器中的安全漏洞将在2020年9月的第35届ICT系统安全性和隐私保护国际会议(IFIP SEC 2020)上发表。