• होम
  • ऐप्स
  • ख़बरें
  • Android पासवर्ड मैनेजर पर सुरक्षित नहीं है आपकी अकाउंट डिटेल्स! IIIT हैदराबाद की रिसर्च में खुलासा

Android पासवर्ड मैनेजर पर सुरक्षित नहीं है आपकी अकाउंट डिटेल्स! IIIT हैदराबाद की रिसर्च में खुलासा

IIIT-H ने अपनी एक रिसर्च को Black Hat यूरोप के सुरक्षा सम्मेलन में सामने रखा, जिसमें साबित किया गया है कि Android पर कई पासवर्ड मैनेजर अकाउंट डिटेल्स को सुरक्षित रखने में अक्षम हैं।

Android पासवर्ड मैनेजर पर सुरक्षित नहीं है आपकी अकाउंट डिटेल्स! IIIT हैदराबाद की रिसर्च में खुलासा
ख़ास बातें
  • IIIT-H ने अपनी एक रिसर्च को Black Hat यूरोप के सुरक्षा सम्मेलन में सामने
  • Android पर कई पासवर्ड मैनेजर डिटेल्स को सुरक्षित रखने में अक्षम रहें
  • AutoSpill अटैक के जरिए हैकर्स कर सकते हैं अकाउंट डिटेल्स चोरी
विज्ञापन
हैदराबाद स्थित अंतर्राष्ट्रीय सूचना प्रौद्योगिकी संस्थान (IIIT) के रिसर्चर्स ने ऑटोस्पिल (AutoSpill) नाम के एक नए अटैक का खुलासा किया है, जिसे Android पर अकाउंट क्रेडेंशियल्स को चोरी करने के लिए डिजाइन किया गया है। रिसर्चर्स ने ब्लैक हैट यूरोप (Black Hat Europe) सुरक्षा सम्मेलन में अपनी इस रिपोर्ट को सबसे सामने रखा, जिससे पता चला कि अधिकांश Android पासवर्ड मैनेजर जावास्क्रिप्ट इंजेक्शन के बिना भी AutoSpill अटैक से खुद को बचाने में असमर्थ हो सकते हैं।

IIIT-H ने अपनी एक रिसर्च (via BleepingComputer) को Black Hat यूरोप के सुरक्षा सम्मेलन में सामने रखा, जिसमें साबित किया गया है कि Android पर कई पासवर्ड मैनेजर अकाउंट डिटेल्स को सुरक्षित रखने में अक्षम हैं। इन पासवर्ड मैनेजर को हैकर्स बिना जावास्क्रिप्ट इंजेक्शन के AutoSpill अटैक के जरिए हैक कर सकते हैं। Android सिस्टम में ऐप आमतौर पर वेब कंटेंट दिखाने के लिए वेबव्यू कंट्रोलर्स का उपयोग करते हैं, जैसे ऐप के भीतर लॉगिन पेज। ऐसा छोटे-स्क्रीन वाले डिवाइस को इस्तेमाल करने वाले यूजर्स का अनुभव बेहतर बनाने के लिए किया जाता है। इसमें यूजर्स को ब्राउजर पर भेजे जाने की जरूरत के बिना लॉग-इन उसी पेज पर उपलब्ध करा दिया जाता है।

अब यह असल में काम कैसे करता है? चलिए जानते हैं। जब कोई ऐप Facebook, Google या किसी अन्य सर्विस पर लॉग-इन करने के लिए पेज लोड करता है, तो अकसर देखा जाता है कि Android पर कोई भी पासवर्ड मैनेजर पहले से सेव उस अकाउंट के क्रिडेंशियल्स को अपने आप दिखा देता है और सबमिट करने का ऑप्शन देता है। ऐसा करने के लिए ऐप प्लेटफॉर्म के वेबव्यू फ्रेमवर्क का इस्तेमाल करते हैं।

रिपोर्ट में बताया गया है कि AutoSpill अटैक इस प्रक्रिया में कमजोरियों का फायदा उठाता है, जिससे हैकर्स को जावास्क्रिप्ट इंजेक्शन के बिना भी, इनवोकिंग ऐप पर ऑटो-फिल क्रेडेंशियल्स को एक्सेस करने की इजाजत मिलती है। यह भेद्यता ऑटोमेटिकली फिल किए गए डेटा की सुरक्षित हैंडलिंग के लिए जिम्मेदारी को लागू करने या स्पष्ट रूप से परिभाषित करने में Android की विफलता से पैदा होती है।

रिसर्चर्स ने Android वर्जन 10, 11 और 12 पर विभिन्न पासवर्ड मैनेजर के खिलाफ ऑटोस्पिल अटैक को टेस्ट किया। कमजोर पासवर्ड मैनेजर में 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048, और Keepass2Android 1.09c-r0 शामिल थे। Google Smart Lock 13.30.8.26 और Daslane 6.2221.3 ने ऑटोफिल के लिए एक अलग तकनीकी दृष्टिकोण अपनाया, जिसमें जब तक कि जावास्क्रिप्ट इंजेक्शन का उपयोग नहीं किया जाता, तब तक होस्ट ऐप में संवेदनशील डेटा लीक से बचा जा सके।

BleepingComputer ने इन सभी ऐप्स से इस मामले में टिप्पणी के लिए संपर्क किया। मामले में Google ने भी रिप्लाई किया और कहा, "Android डेवलपर्स द्वारा वेबव्यू का उपयोग विभिन्न तरीकों से किया जाता है, जिसमें उनके ऐप्स में उनकी स्वयं की सेवाओं के लिए लॉगिन पेज होस्ट करना शामिल है। यह समस्या इस बात से संबंधित है कि कैसे पासवर्ड मैनेजर वेबव्यू के साथ इंटरैक्ट करते समय ऑटोफिल एपीआई का लाभ उठाते हैं।"

कंपनी ने आगे कहा, "हम अनुशंसा करते हैं कि थर्ड-पार्टी पासवर्ड मैनेजर इस बात के प्रति संवेदनशील हों कि पासवर्ड कहां इनपुट किया जा रहा है, और हमारे पास WebView के वे सर्वोत्तम तरीके हैं जिन्हें हम सभी पासवर्ड मैनेजर्स को लागू करने की सलाह देते हैं। एंड्रॉयड पासवर्ड मैनेजर्स को नेटिव व्यू और वेबव्यू के बीच अंतर करने के लिए आवश्यक संदर्भ प्रदान करता है, साथ ही यह भी बताता है कि जो लोड किया जा रहा वेबव्यू होस्टिंग ऐप से संबंधित नहीं है।"

इसका उदाहरण देते हुए Google ने कहा, "एंड्रॉयड पर ऑटोफिल के लिए गूगल पासवर्ड मैनेजर का उपयोग करते समय यूजर्स को चेतावनी दी जाती है कि यदि वे किसी ऐसे डोमेन के लिए पासवर्ड दर्ज कर रहे हैं जो गूगल निर्धारित करता है कि होस्टिंग ऐप का स्वामित्व नहीं रखता है और पासवर्ड केवल उचित फील्ड में भरा जाता है। Google केवल WebView के जरिए लॉगिन के लिए सर्वर साइड सुरक्षा लागू करता है।"

कुछ अन्य पासवर्ड मैनेजर्स ने भी वेबसाइट को इसपर जवाब दिया है, जिन्हें आप इस रिपोर्ट में पढ़ सकते हैं।
Comments

लेटेस्ट टेक न्यूज़, स्मार्टफोन रिव्यू और लोकप्रिय मोबाइल पर मिलने वाले एक्सक्लूसिव ऑफर के लिए गैजेट्स 360 एंड्रॉयड ऐप डाउनलोड करें और हमें गूगल समाचार पर फॉलो करें।

नितेश पपनोई Nitesh has almost seven years of experience in news writing and reviewing tech products like smartphones, headphones, and smartwatches. At Gadgets 360, he is covering all ...और भी
Share on Facebook Gadgets360 Twitter ShareTweet Share Snapchat Reddit आपकी राय google-newsGoogle News

विज्ञापन

Follow Us

विज्ञापन

#ताज़ा ख़बरें
  1. 'HR करेंगे बात ...' Ola सीईओ भाविश अग्रवाल का यह ईमेल सोशल मीडिया पर हो रहा वायरल, जानें वजह
  2. WhatsApp New Year Stickers: नए साल 2025 के लिए Whatsapp में आए खास फीचर्स, ऐसे करें इस्तेमाल
  3. Maruti Suzuki की 500 Km रेंज वाली e Vitara इलेक्ट्रिक SUV का भारत में लॉन्च कंफर्म! जानें क्या होगा खास?
  4. गलती से iPhone मंदिर की दानपेटी में गिरा, वापस मांगा तो प्रशासन बोला- 'नहीं मिलेगा, अब यह भगवान का ...'
  5. Ursid Meteor Shower 2024: दिसंबर में इस दिन होगी उल्काओं की बारिश! ऐसे देखें अद्भुत नजारा
  6. JioTag Go vs JioTag Air: Rs 1,499 में कौन सा डिवाइस ट्रैकर है बेस्ट?
  7. मारूति सुजुकी जनवरी में पेश करेगी अपना पहला इलेक्ट्रिक व्हीकल eVitara
  8. Lava Blaze Duo 5G फोन Rs 2 हजार सस्ते में खरीदने का मौका, 64MP कैमरा, 8GB रैम जैसे हैं फीचर्स
  9. OnePlus Watch 3 के लॉन्च से पहले रेंडर्स लीक, डिजाइन, बैटरी समेत कई फीचर्स का खुलासा
  10. सिंगल चार्ज में 11 घंटे चलने वाला Xiaomi Burgundy Red Mini ब्लूटूथ स्पीकर लॉन्च, जानें कीमत
© Copyright Red Pixels Ventures Limited 2024. All rights reserved.
ट्रेंडिंग प्रॉडक्ट्स »
लेटेस्ट टेक ख़बरें »