Trình quản lý mật khẩu Android yêu thích của bạn đang rò rỉ dữ liệu

Để đọc báo cập nhập các thông tin hữu ích trên điện thoại di động không bị ngắt kết nối, quý khách hãy đăng ký 4g vina để có cho mình những ưu đãi data tốc độ cao từ nhà mạng Vinaphone. Tránh trường hợp bị hết ngắt kết nối mạng khi đang lướt wed nhé.

Trong một bài thuyết trình tại Black Hat Europe 2023, các nhà nghiên cứu từ Viện Công nghệ Thông tin Quốc tế, Hyderabad cho thấy cách họ có thể đánh cắp thông tin đăng nhập được lưu từ các trình quản lý mật khẩu bằng một cuộc tấn công mới mà họ gọi là Autospill. 

Như các nhà nghiên cứu đã chỉ ra, nhiều ứng dụng Android sử dụng các điều khiển WebView để tải các trang web trong các ứng dụng di động. Những điều khiển này thường được sử dụng để mở các liên kết siêu văn bản hoặc các trang đăng nhập. Hóa ra nhiều trình quản lý mật khẩu hàng đầu trên Android sử dụng WebView để tự động điền mật khẩu của người dùng khi tải các trang đăng nhập cho Apple, Facebook, Google và các nền tảng khác. Autospill có thể khai thác quá trình này để đánh cắp dữ liệu.

“Autospill vi phạm quá trình tự động điền an toàn của Android”, các nhà nghiên cứu giải thích. “Chúng tôi nhận thấy hầu hết các PM Android hàng đầu dễ bị tổn thương trước các cuộc tấn công tự động; Thậm chí không cần phải chèn JavaScript. Tất cả chúng đều bị phát hiện dễ bị tấn công khi JavaScript được bật”. 

Báo cáo của họ tuyên bố rằng Android không thực thi hoặc giả định bất kỳ trách nhiệm nào cho việc xử lý dữ liệu tự động điền an toàn. Do đó, dữ liệu có thể bị rò rỉ hoặc một ứng dụng độc hại có thể thu thập dữ liệu một cách tương đối dễ dàng.

Các nhà nghiên cứu đã sử dụng Autospill trên các trình quản lý mật khẩu phổ biến trên các thiết bị chạy Android 10, Android 11 và Android 12. 1Password, LastPass, NPass, Keeper và KeePass2Android đều dễ bị tổn thương. Các nhà nghiên cứu cũng có thể hack vào Google Smart Lock và Dashlane, nhưng họ phải bật chèn JavaScript.  

Các nhà nghiên cứu cho biết họ đã tiết lộ các phát hiện của mình cho các nhà phát triển ứng dụng cũng như nhóm bảo mật Android. Ông lưu ý rằng Google và một số ứng dụng quản lý mật khẩu đã thừa nhận công việc của ông là một vấn đề hợp pháp và bắt đầu làm việc để khắc phục.  

Nhiều nhà phát triển cũng đã phản hồi yêu cầu bình luận về những phát hiện này của Mystery Computer. Những gì Pedro Canahuti, CTO của 1Password, nói: 

Nhiều người quen với việc sử dụng tự động điền để nhanh chóng và dễ dàng nhập thông tin xác thực của họ. Thông qua một ứng dụng độc hại được cài đặt trên thiết bị của người dùng, hacker có thể lừa người dùng tự động điền thông tin xác thực của họ mà không cần họ biết. Autospill đã làm sáng tỏ vấn đề này.  

Giữ cho dữ liệu quan trọng nhất của khách hàng chúng tôi được an toàn là ưu tiên hàng đầu của 1Password. Một giải pháp cho việc tràn ngập tự động đã được xác định và hiện đang được nghiên cứu.  

Trong khi cải thiện này sẽ củng cố thêm tư thế bảo mật của chúng tôi, chức năng tự động điền của 1Password được thiết kế để cung cấp hành động rõ ràng cho người dùng.  

Bản cập nhật sẽ cung cấp thêm bảo mật bằng cách ngăn chặn các trường cơ bản khỏi được điền bằng chứng thực webview Android. 

Trong khi lỗ hổng này không còn xuất hiện trong các phiên bản mới nhất của Android hay các ứng dụng liên quan, đây là một lời nhắc nhở nữa để cẩn thận về bảo mật di động.

Hiện tại nhà mạng Vinaphone đã triển khai rất nhiều gói 4g vina để mang đến cho quý khách nhiều lựa chọn đa dạng. Trong đó, triển khai riêng biệt cho và thuê bao EZCom. Giờ đây, cùng vnvinaphone.vn tìm hiểu chi tiết các gói cước hot nhất hiện nay nhé.

Link xem chi tiết cách đăng ký 4g vina: https://vnvinaphone.vn/4g-vina