Các ứng dụng quản lý mật khẩu được dùng để tạo, lưu trữ, nhập và tự động điền mật khẩu vào các ứng dụng hay website. Ngoài tác dụng giúp người dùng tạo và nhớ những mật khẩu phức tạp, các ứng dụng quản lý mật khẩu còn giúp chống lại các thủ đoạn lừa đảo thông qua chức năng tự động điền mật khẩu: chúng chỉ tự động điền mật khẩu vào các trang web/ứng dụng di động tương ứng chứ không phải những địa chỉ giả mạo.
Trường đại học Genoa và nhóm nghiên cứu Phishing Attacks on Modern Android của EUROCOM đã khám phá ra sự khác biệt giữa truy cập một dịch vụ qua ứng dụng di động và truy cập qua website trên máy tính để bàn. Với trình duyệt trên máy tính, khi một trang web được ghé thăm lần đầu, ứng dụng quản lý mật khẩu tạo ra một liên kết giữa tên miền (xác thực bằng chứng chỉ số) và thông tin đăng nhập vào trang web đó. Tuy nhiên, khi người dùng sử dụng thông tin đăng nhập để truy cập vào một ứng dụng di động, quá trình xác thực ứng dụng phức tạp hơn nhiều và kém an toàn hơn. Phương thức chính mà ứng dụng quản lý mật khẩu dùng để phân biệt giữa ứng dụng di động thật và ứng dụng di động giả là liên kết tên miền của website của ứng dụng đó với tên ứng dụng. Nhưng điều bất cập là tên ứng dụng có thể bị giả mạo: kẻ xấu có thể tạo ra một ứng dụng giả với tên giống như ứng dụng thật và trình quản lý mật khẩu sẽ tin tưởng, điền mật khẩu vào giao diện của ứng dụng giả.
Các nhà nghiên cứu phát hiện ra rằng, các trình quản lý mật khẩu phổ biến như LastPass, 1Password, Dashlane và Keeper đều bị lừa bằng cách đó. Chỉ có Google Smart Lock, một ứng dụng không hẳn là trình quản lý mật khẩu là không bị lừa. Trong quá trình kiểm tra, họ phát hiện thêm rằng tính năng Instant Apps mà Google mới giới thiệu vốn được thiết kế để người dùng thử nghiệm ứng dụng mà không cần tải xuống và cài đặt, có thể bị website lừa đảo lợi dụng để kích hoạt tính năng tự động đăng nhập của trình quản lý mật khẩu. Điều này khá nguy hiểm vì nó giúp kẻ xấu lấy được thông tin đăng nhập mà không cần lừa người dùng cài đặt ứng dụng với tên giả (điều Google Play không cho phép).
Các trình quản lý mật khẩu ánh xạ các tên miền tới ứng dụng di động trên Android dựa trên 3 chuẩn: Accessibility Service (a11y); Autofill Framework (từ phiên bản Oreo 8.0 trở về sau); OpenYOLO – một sản phẩm hợp tác giữa Google và Dashlane. Chuẩn đầu tiên, a11y, được thiết kế cho những người tàn tật nhưng sau đó bị các loại mã độc lợi dụng để lấy quyền quản trị. Điều đó khiến Google quyết định triển khai Autofill Framework và hợp tác với Dashlane để xây dựng OpenYOLO. Điều không may là cả 3 tiêu chuẩn đó đều có thể bị qua mặt bằng cách thay đổi tên ứng dụng. Các nhà nghiên cứu đề xuất giải pháp đưa ra một API mới getVerifiedDomainNames với chức năng kiểm tra liên kết giữa một tên miền và ứng dụng di động gắn với nó. Nhược điểm của cách làm này là các website sẽ phải công bố một tệp chứa thông tin đó, điều mà chỉ có 2% trong số hơn 8000 tên miền được khảo sát thực hiện.
Hiện tại, các trình quản lý mật khẩu chỉ còn cách tự tìm cách giải quyết. LastPass nói rằng, họ không tin điểm yếu này từng khiến khách hàng của họ bị tấn công.
Dù sao thì việc sử dụng các trình quản lý mật khẩu vẫn là cách đơn giản và hiệu quả nhất để đảm bảo an ninh mà người dùng có thể áp dụng. Khả năng bị tấn công do dùng lại mật khẩu sẽ lớn hơn so với khả năng bị ứng dụng di động giả qua mặt trình quản lý mật khẩu. Nếu bạn lo ngại về kiểu tấn công mới này hoặc các kiểu tấn công tương tự, hãy tắt tính năng tự điền mật khẩu chứ đừng vì thế mà ngừng sử dụng các trình quản lý mật khẩu.
Nguyễn Anh Tuấn
Theo Naked Security
16:47 | 23/03/2017
08:00 | 05/03/2021
15:07 | 04/07/2016
10:00 | 12/12/2018
11:00 | 26/04/2024
Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.
14:00 | 24/04/2024
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
13:00 | 28/03/2024
Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024