【點信你】驗證、密碼管理app齊齊甩漏
要保障自己嘅網上帳戶安全,好多時網絡安全專家都會叫大家改個複雜嘅密碼,而且仲要逐個帳戶改,唔可以重複,但大家都知道要做到幾乎係無可能,真係設定咗,都要成日㩒「忘記密碼」,實用性極低。於是專家就會建議大家啟用雙重因素驗證(2FA)提升登入安全性,或安裝密碼管理器去管理所有帳戶嘅密碼,咁樣的確係安全好多嘅,但問題係首先要服務供應商安全先得。可惜嘅係,最近有研究員發現,無論係 2FA app 供應商 Google 或 Microsoft,抑或係密碼管理app 例如
喺雙重因素驗證 app 方面,網絡安全供應商 ThreatFabric 發現,只要黑客成功誘騙 Android 手機用家安裝惡意軟件 Cerberus,就有機會盜取用家經 Google Authenticator 或 Microsoft Authenticator app 產生嘅一次性密碼。安全專家解釋,黑客係透過擷取屏幕功能去達成任務,因為一般 Android app 開發者會透過加入「FLAG_SECURE」程式碼,去防範被其他惡意軟件擷取屏幕畫面竊取私隱,但偏偏 Google Authenticator 或 Microsoft Authenticator 嘅 Android app 都無加入呢組程式碼,所以只要黑客有心攻擊指定目標,截取 2FA 驗證碼並非難事。
而喺密碼管理軟件方面,The University of York 就測試咗市面上五款企業用密碼管理器 Dashlane、LastPass、Keeper、1Password、RoboForm,包括各自嘅瀏覽器延伸程式、手機應用程式等,而測試標準,就係收集咗多年嚟針對密碼管理器漏洞嘅研究,選出當中幾種最有可能被利用功能,例如群組分享密碼、自動填表、暴力破解登入密碼等等。結果發現,五款管理器都各有漏洞,當中最多密碼管理器出事嘅就係自動填表漏洞,因為系統無特別係去分辨登入嘅網站到底係採用 HTTP 或 HTTPS,又或無理會網址係咪 Subdomain,只要偵測到系統內有相關網址嘅紀錄,就會自動喺輸入欄位填入相關登入名稱及密碼,黑客甚至乎可透過發送內有隱藏 HTML 表格嘅電郵,令密碼管理器自動填入相關資料,雖然專家話最後都係要用家㩒掣發送出去,但只要用家無為意都有可能㩒錯。
無論係雙重驗證定係密碼管理器嘅漏洞,安全專家都通知咗相關服務供應商,至於對方會唔會處理,就要等佢哋回覆喇。
資料來源:https://bit.ly/33BrUZJ、https://bit.ly/3ae1Bet
相關文章:【手快快出禍】唔睇使用條款 突破 2FA 雙重驗證話咁易
