Các ứng dụng quản lý mật khẩu được dùng để tạo, lưu trữ, nhập và tự động điền mật khẩu vào các ứng dụng hay website. Ngoài tác dụng giúp người dùng tạo và nhớ những mật khẩu phức tạp, các ứng dụng quản lý mật khẩu còn giúp chống lại các thủ đoạn lừa đảo thông qua chức năng tự động điền mật khẩu: chúng chỉ tự động điền mật khẩu vào các trang web/ứng dụng di động tương ứng chứ không phải những địa chỉ giả mạo.
Trường đại học Genoa và nhóm nghiên cứu Phishing Attacks on Modern Android của EUROCOM đã khám phá ra sự khác biệt giữa truy cập một dịch vụ qua ứng dụng di động và truy cập qua website trên máy tính để bàn. Với trình duyệt trên máy tính, khi một trang web được ghé thăm lần đầu, ứng dụng quản lý mật khẩu tạo ra một liên kết giữa tên miền (xác thực bằng chứng chỉ số) và thông tin đăng nhập vào trang web đó. Tuy nhiên, khi người dùng sử dụng thông tin đăng nhập để truy cập vào một ứng dụng di động, quá trình xác thực ứng dụng phức tạp hơn nhiều và kém an toàn hơn. Phương thức chính mà ứng dụng quản lý mật khẩu dùng để phân biệt giữa ứng dụng di động thật và ứng dụng di động giả là liên kết tên miền của website của ứng dụng đó với tên ứng dụng. Nhưng điều bất cập là tên ứng dụng có thể bị giả mạo: kẻ xấu có thể tạo ra một ứng dụng giả với tên giống như ứng dụng thật và trình quản lý mật khẩu sẽ tin tưởng, điền mật khẩu vào giao diện của ứng dụng giả.
Các nhà nghiên cứu phát hiện ra rằng, các trình quản lý mật khẩu phổ biến như LastPass, 1Password, Dashlane và Keeper đều bị lừa bằng cách đó. Chỉ có Google Smart Lock, một ứng dụng không hẳn là trình quản lý mật khẩu là không bị lừa. Trong quá trình kiểm tra, họ phát hiện thêm rằng tính năng Instant Apps mà Google mới giới thiệu vốn được thiết kế để người dùng thử nghiệm ứng dụng mà không cần tải xuống và cài đặt, có thể bị website lừa đảo lợi dụng để kích hoạt tính năng tự động đăng nhập của trình quản lý mật khẩu. Điều này khá nguy hiểm vì nó giúp kẻ xấu lấy được thông tin đăng nhập mà không cần lừa người dùng cài đặt ứng dụng với tên giả (điều Google Play không cho phép).
Các trình quản lý mật khẩu ánh xạ các tên miền tới ứng dụng di động trên Android dựa trên 3 chuẩn: Accessibility Service (a11y); Autofill Framework (từ phiên bản Oreo 8.0 trở về sau); OpenYOLO – một sản phẩm hợp tác giữa Google và Dashlane. Chuẩn đầu tiên, a11y, được thiết kế cho những người tàn tật nhưng sau đó bị các loại mã độc lợi dụng để lấy quyền quản trị. Điều đó khiến Google quyết định triển khai Autofill Framework và hợp tác với Dashlane để xây dựng OpenYOLO. Điều không may là cả 3 tiêu chuẩn đó đều có thể bị qua mặt bằng cách thay đổi tên ứng dụng. Các nhà nghiên cứu đề xuất giải pháp đưa ra một API mới getVerifiedDomainNames với chức năng kiểm tra liên kết giữa một tên miền và ứng dụng di động gắn với nó. Nhược điểm của cách làm này là các website sẽ phải công bố một tệp chứa thông tin đó, điều mà chỉ có 2% trong số hơn 8000 tên miền được khảo sát thực hiện.
Hiện tại, các trình quản lý mật khẩu chỉ còn cách tự tìm cách giải quyết. LastPass nói rằng, họ không tin điểm yếu này từng khiến khách hàng của họ bị tấn công.
Dù sao thì việc sử dụng các trình quản lý mật khẩu vẫn là cách đơn giản và hiệu quả nhất để đảm bảo an ninh mà người dùng có thể áp dụng. Khả năng bị tấn công do dùng lại mật khẩu sẽ lớn hơn so với khả năng bị ứng dụng di động giả qua mặt trình quản lý mật khẩu. Nếu bạn lo ngại về kiểu tấn công mới này hoặc các kiểu tấn công tương tự, hãy tắt tính năng tự điền mật khẩu chứ đừng vì thế mà ngừng sử dụng các trình quản lý mật khẩu.
Nguyễn Anh Tuấn
Theo Naked Security
16:47 | 23/03/2017
08:00 | 05/03/2021
15:07 | 04/07/2016
10:00 | 12/12/2018
08:00 | 26/08/2024
Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.
16:00 | 03/06/2024
Nhóm Tình báo mối đe dọa của Microsoft cho biết họ đã phát hiện một tác nhân đe dọa, được theo dõi dưới tên Storm-1811, đang lạm dụng công cụ quản lý khách hàng Quick Assist để nhắm mục tiêu vào người dùng trong các cuộc tấn công kỹ thuật xã hội.
08:00 | 23/05/2024
Chiều 10/5, Công ty Đường sắt Đông Nhật Bản (JR East) thông tin về sự cố gián đoạn hệ thống đối với ứng dụng Mobile Suica và hệ thống đặt chỗ trực tuyến Eki-net.
09:00 | 21/05/2024
Hơn 50% trong số 90.310 máy chủ được phát hiện đang triển khai dịch vụ Tinyproxy trên Internet dễ bị tấn công bởi một lỗ hổng bảo mật nghiêm trọng chưa được vá trong công cụ proxy HTTP/HTTPS.
Công ty an ninh mạng Lumen Technologies (Mỹ) cho biết, một nhóm tin tặc Trung Quốc đã khai thác một lỗ hổng phần mềm để xâm nhập vào một số công ty Internet tại Hoa Kỳ và nước ngoài.
14:00 | 05/09/2024