Các ứng dụng quản lý mật khẩu được dùng để tạo, lưu trữ, nhập và tự động điền mật khẩu vào các ứng dụng hay website. Ngoài tác dụng giúp người dùng tạo và nhớ những mật khẩu phức tạp, các ứng dụng quản lý mật khẩu còn giúp chống lại các thủ đoạn lừa đảo thông qua chức năng tự động điền mật khẩu: chúng chỉ tự động điền mật khẩu vào các trang web/ứng dụng di động tương ứng chứ không phải những địa chỉ giả mạo.
Trường đại học Genoa và nhóm nghiên cứu Phishing Attacks on Modern Android của EUROCOM đã khám phá ra sự khác biệt giữa truy cập một dịch vụ qua ứng dụng di động và truy cập qua website trên máy tính để bàn. Với trình duyệt trên máy tính, khi một trang web được ghé thăm lần đầu, ứng dụng quản lý mật khẩu tạo ra một liên kết giữa tên miền (xác thực bằng chứng chỉ số) và thông tin đăng nhập vào trang web đó. Tuy nhiên, khi người dùng sử dụng thông tin đăng nhập để truy cập vào một ứng dụng di động, quá trình xác thực ứng dụng phức tạp hơn nhiều và kém an toàn hơn. Phương thức chính mà ứng dụng quản lý mật khẩu dùng để phân biệt giữa ứng dụng di động thật và ứng dụng di động giả là liên kết tên miền của website của ứng dụng đó với tên ứng dụng. Nhưng điều bất cập là tên ứng dụng có thể bị giả mạo: kẻ xấu có thể tạo ra một ứng dụng giả với tên giống như ứng dụng thật và trình quản lý mật khẩu sẽ tin tưởng, điền mật khẩu vào giao diện của ứng dụng giả.
Các nhà nghiên cứu phát hiện ra rằng, các trình quản lý mật khẩu phổ biến như LastPass, 1Password, Dashlane và Keeper đều bị lừa bằng cách đó. Chỉ có Google Smart Lock, một ứng dụng không hẳn là trình quản lý mật khẩu là không bị lừa. Trong quá trình kiểm tra, họ phát hiện thêm rằng tính năng Instant Apps mà Google mới giới thiệu vốn được thiết kế để người dùng thử nghiệm ứng dụng mà không cần tải xuống và cài đặt, có thể bị website lừa đảo lợi dụng để kích hoạt tính năng tự động đăng nhập của trình quản lý mật khẩu. Điều này khá nguy hiểm vì nó giúp kẻ xấu lấy được thông tin đăng nhập mà không cần lừa người dùng cài đặt ứng dụng với tên giả (điều Google Play không cho phép).
Các trình quản lý mật khẩu ánh xạ các tên miền tới ứng dụng di động trên Android dựa trên 3 chuẩn: Accessibility Service (a11y); Autofill Framework (từ phiên bản Oreo 8.0 trở về sau); OpenYOLO – một sản phẩm hợp tác giữa Google và Dashlane. Chuẩn đầu tiên, a11y, được thiết kế cho những người tàn tật nhưng sau đó bị các loại mã độc lợi dụng để lấy quyền quản trị. Điều đó khiến Google quyết định triển khai Autofill Framework và hợp tác với Dashlane để xây dựng OpenYOLO. Điều không may là cả 3 tiêu chuẩn đó đều có thể bị qua mặt bằng cách thay đổi tên ứng dụng. Các nhà nghiên cứu đề xuất giải pháp đưa ra một API mới getVerifiedDomainNames với chức năng kiểm tra liên kết giữa một tên miền và ứng dụng di động gắn với nó. Nhược điểm của cách làm này là các website sẽ phải công bố một tệp chứa thông tin đó, điều mà chỉ có 2% trong số hơn 8000 tên miền được khảo sát thực hiện.
Hiện tại, các trình quản lý mật khẩu chỉ còn cách tự tìm cách giải quyết. LastPass nói rằng, họ không tin điểm yếu này từng khiến khách hàng của họ bị tấn công.
Dù sao thì việc sử dụng các trình quản lý mật khẩu vẫn là cách đơn giản và hiệu quả nhất để đảm bảo an ninh mà người dùng có thể áp dụng. Khả năng bị tấn công do dùng lại mật khẩu sẽ lớn hơn so với khả năng bị ứng dụng di động giả qua mặt trình quản lý mật khẩu. Nếu bạn lo ngại về kiểu tấn công mới này hoặc các kiểu tấn công tương tự, hãy tắt tính năng tự điền mật khẩu chứ đừng vì thế mà ngừng sử dụng các trình quản lý mật khẩu.
Nguyễn Anh Tuấn
Theo Naked Security
16:47 | 23/03/2017
08:00 | 05/03/2021
15:07 | 04/07/2016
10:00 | 12/12/2018
08:00 | 07/02/2025
Cracked và Nulled, hai trong số các diễn đàn tấn công mạng lớn nhất thế giới với hơn 10 triệu người dùng vừa bị các nhà chức trách đánh sập.
22:00 | 31/01/2025
Sau khi gây sốt trên toàn cầu, công ty trí tuệ nhân tạo Trung Quốc DeepSeek liên tiếp gặp sự cố.
16:00 | 20/01/2025
Ngày 06/01, nhóm tin tặc Silent Crow được cho là liên quan đến Ukraine tuyên bố đã xâm nhập vào hệ thống của Cơ quan địa chính và bản đồ Quốc gia Nga (Rosreestr) và công bố một phần dữ liệu được cho là trích xuất từ cơ sở dữ liệu của cơ quan này.
14:00 | 07/01/2025
Những kẻ tấn công từ Triều Tiên đứng sau chiến dịch tấn công Contagious Interview đang diễn ra đã bị phát hiện đang phát tán một phần mềm độc hại JavaScript mới có tên là OtterCookie.
Năm 2025 được dự báo sẽ chứng kiến sự gia tăng các cuộc tấn công mạng, với sự xuất hiện và phát triển mạnh mẽ của những phần mềm độc hại nhắm vào cả cá nhân lẫn tổ chức trên toàn cầu. Bài viết tập trung nghiên cứu và phân tích 5 mối đe dọa phần mềm độc hại hàng đầu được dự báo sẽ gây ảnh hưởng lớn nhất trong năm nay. Từ những dòng mã độc tống tiền tinh vi đến trojan đánh cắp thông tin và công cụ truy cập từ xa. Những mối đe dọa này không chỉ đặt ra thách thức lớn cho các chuyên gia an ninh mạng mà còn yêu cầu sự chuẩn bị kỹ lưỡng từ mọi tổ chức và cá nhân.
10:00 | 06/02/2025