Android Password Manager: हैदराबाद स्थित अंतर्राष्ट्रीय सूचना प्रौद्योगिकी संस्थान (IIIT) के शोधकर्ताओं ने एक नए अटैक “ऑटोस्पिल” (AutoSpill) का खुलासा किया है, जिसे Android पर खाता क्रेडेंशियल्स को चुराने के लिए डिज़ाइन किया गया है। शोधकर्ताओं ने ब्लैक हैट यूरोप (Black Hat Europe) सुरक्षा सम्मेलन में अपनी रिपोर्ट को सबके सामने रखा, जिससे पता चला कि अधिकांश Android पासवर्ड मैनेजर्स जावास्क्रिप्ट इंजेक्शन के बिना भी AutoSpill हमले से अपने आप को बचाने में असमर्थ हो सकते हैं।
Android Password Manager अकाउंट विवरणों को सुरक्षित रखने में असमर्थ
IIIT-H ने अपनी एक रिसर्च (ब्लीपिंग कंप्यूटर के माध्यम से) को ब्लैक हैट यूरोप सुरक्षा सम्मेलन में प्रस्तुत किया है, जिसमें साबित हुआ है कि Android Password Manager अकाउंट विवरणों को सुरक्षित रखने में असमर्थ हैं। इन पासवर्ड मैनेजर्स को हैकर्स बिना जावास्क्रिप्ट इंजेक्शन के AutoSpill अटैक के माध्यम से हैक कर सकते हैं। Android सिस्टम में, एप्लिकेशन आमतौर पर वेब कंटेंट दिखाने के लिए वेबव्यू कंट्रोलर्स का उपयोग करते हैं, जैसे कि एप्लिकेशन के भीतर लॉगिन पेज। यह छोटे-स्क्रीन वाले उपकरण का उपयोग करने वाले उपयोगकर्ताओं का अनुभव बेहतर बनाने के लिए किया जाता है। इसमें, उपयोगकर्ताओं को ब्राउज़र पर भेजे जाने की आवश्यकता के बिना लॉग-इन उसी पृष्ठ पर उपलब्ध करा दिया जाता है। Android Password Manager
अब यह वाकई में कैसे काम करता है? चलिए इसे समझते हैं। जब कोई ऐप Facebook, Google या किसी अन्य सेवा पर लॉग-इन करने के लिए पृष्ठ लोड करता है, तो अक्सर देखा जाता है कि Android पर कोई भी पासवर्ड मैनेजर पहले से सेवा के क्रेडेंशियल्स को अपने आप प्रदर्शित कर देता है और सबमिट करने का विकल्प देता है। ऐसा करने के लिए एप्लिकेशन प्लेटफ़ॉर्म वेब व्यू फ़्रेमवर्क का उपयोग करता है। Android Password Manager
एंड्रॉयड पासवर्ड मैनेजर्स को नेटिव व्यू और वेबव्यू के बीच अंतर
कंपनी ने आगे कहा, “हम अनुशंसा करते हैं कि थर्ड-पार्टी पासवर्ड मैनेजर इस बात के प्रति संवेदनशील हों कि पासवर्ड कहां इनपुट किया जा रहा है, और हमारे पास WebView के वे सर्वोत्तम तरीके हैं जिन्हें हम सभी पासवर्ड मैनेजर्स को लागू करने की सलाह देते हैं। एंड्रॉयड पासवर्ड मैनेजर्स को नेटिव व्यू और वेबव्यू के बीच अंतर करने के लिए आवश्यक संदर्भ प्रदान करता है, साथ ही यह भी बताता है कि जो लोड किया जा रहा वेबव्यू होस्टिंग ऐप से संबंधित नहीं है।
रिपोर्ट में बताया गया है कि AutoSpill अटैक इस प्रक्रिया में कमजोरियों का फायदा उठाता है, जिससे हैकर्स को जावास्क्रिप्ट इंजेक्शन के बिना भी, इनवोकिंग ऐप पर ऑटो-फिल क्रेडेंशियल्स को एक्सेस करने की इजाजत मिलती है। यह भेद्यता ऑटोमेटिकली फिल किए गए डेटा की सुरक्षित हैंडलिंग के लिए जिम्मेदारी को लागू करने या स्पष्ट रूप से परिभाषित करने में Android की विफलता से पैदा होती है। Android Password Manager
शोधकर्ताओं ने Android संस्करण 10, 11 और 12 पर विभिन्न पासवर्ड मैनेजर्स के खिलाफ ऑटोस्पिल हमले का परीक्षण किया। कमजोर पासवर्ड मैनेजर में 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048, और Keepass2Android 1.09c-r0 शामिल थे। Google Smart Lock 13.30.8.26 और Daslane 6.2221.3 ने ऑटोफिल के लिए एक अलग तकनीकी दृष्टिकोण अपनाया, जिसमें जावास्क्रिप्ट इंजेक्शन का उपयोग नहीं किया जाता है, तब तक होस्ट ऐप में संवेदनशील डेटा लीक होने से बचा जा सकता है।
Android डेवलपर्स द्वारा वेबव्यू का उपयोग
Bleeping Computer ने इन सभी ऐप्स से इस मामले में टिप्पणी के लिए संपर्क किया। मामले में Google ने भी रिप्लाई किया और कहा, “Android डेवलपर्स द्वारा वेबव्यू का उपयोग विभिन्न तरीकों से किया जाता है, जिसमें उनके ऐप्स में उनकी स्वयं की सेवाओं के लिए लॉगिन पेज होस्ट करना शामिल है। यह समस्या इस बात से संबंधित है कि कैसे पासवर्ड मैनेजर वेबव्यू के साथ इंटरैक्ट करते समय ऑटोफिल एपीआई का लाभ उठाते हैं।” Android Password Manager
Google ने इसका उदाहरण देते हुए कहा, “एंड्रॉयड पर ऑटोफिल का उपयोग करते समय, गूगल पासवर्ड मैनेजर ने उपयोगकर्ताओं को चेतावनी दी है कि यदि वे किसी ऐसे डोमेन के लिए पासवर्ड दर्ज कर रहे हैं जो गूगल ने तय किया है कि होस्टिंग ऐप का स्वामित्व नहीं रखता है और पासवर्ड केवल उचित फील्ड में भरा जाता है। Google ने बताया कि वह WebView के माध्यम से लॉगिन के लिए सर्वर साइड सुरक्षा लागू करता है।” Android Password Manager
यह लिंक उन व्यक्तियों के लिए है, जो हमारे ग्रुप में पहले से नहीं जुड़े हुए हैं। हमारे ग्रुप से जुड़ने के लिए नीचे दिए गए लिंक पर क्लिक करें।
https://chat.whatsapp.com/HN52HFLSyEu5DQWDmnQgcd
