Polityka i prawo
Fałszywe aplikacje zagrożeniem dla menedżerów haseł
Według naukowców dwa na pięć menedżerów haseł ujawniły dane użytkowników, gdy próbowano użyć ich w zestawieniu z fałszywą aplikacją podszywającą się pod produkty Google - stwierdzili eksperci z uniwersytetu w York.
Specjaliści alarmują, że większość popularnych aplikacji do zarządzania hasłami jest wyposażona w bardzo słabe mechanizmy wykrywania fałszywego oprogramowania, co przekłada się na duże ryzyko dla cyberbezpieczeństwa ich użytkowników.
Jak ostrzegają, jeśli na urządzeniu, gdzie zainstalowany jest menedżer haseł, pojawi się fałszywa aplikacja pobrana i zainstalowana nieopatrznie przez użytkownika, hakerzy mogą zyskać dostęp do wszystkich jego danych przechowywanych przez program do zarządzania hasłami. Wiele menedżerów nie wymaga bowiem ograniczenia w logowaniu z użyciem kodu PIN ani innej formy poświadczania dostępu - dlatego właśnie ich zabezpieczenia mogą zostać pokonane z przeprowadzeniem prostego ataku techniką brute force w ciągu zaledwie kilku godzin - alarmują eksperci z York.
Zespół badawczy wskazał, że istotne jest przeprowadzenie szczegółowej analizy produktów do zarządzania hasłami dostępnych na rynku, gdyż ryzyko ze strony hakerów jest duże i opłacalne. Mechanika ataku prowadzącego do pozyskania haseł użytkownika pozwala na łatwość jego realizacji przy dużej oczekiwanej skuteczności - twierdzi szef zespołu cytowany przez serwis Tech Radar, dr Siamak Shahandashti.
Według niego komercyjne menedżery haseł powinny wprowadzić również dodatkowe zabezpieczenia, np. w postaci pośredniego kroku logowania wymagającego oprócz hasła podania znanego użytkownikowi PIN-u.