• होम
  • ऐप्स
  • ख़बरें
  • Android पासवर्ड मैनेजर पर सुरक्षित नहीं है आपकी अकाउंट डिटेल्स! IIIT हैदराबाद की रिसर्च में खुलासा

Android पासवर्ड मैनेजर पर सुरक्षित नहीं है आपकी अकाउंट डिटेल्स! IIIT हैदराबाद की रिसर्च में खुलासा

जब कोई ऐप Facebook, Google या किसी अन्य सर्विस पर लॉग-इन करने के लिए पेज लोड करता है, तो अकसर देखा जाता है कि Android पर कोई भी पासवर्ड मैनेजर पहले से सेव उस अकाउंट के क्रिडेंशियल्स को अपने आप दिखा देता है और सबमिट करने का ऑप्शन देता है।

Android पासवर्ड मैनेजर पर सुरक्षित नहीं है आपकी अकाउंट डिटेल्स! IIIT हैदराबाद की रिसर्च में खुलासा
ख़ास बातें
  • IIIT-H ने अपनी एक रिसर्च को Black Hat यूरोप के सुरक्षा सम्मेलन में सामने
  • Android पर कई पासवर्ड मैनेजर डिटेल्स को सुरक्षित रखने में अक्षम रहें
  • AutoSpill अटैक के जरिए हैकर्स कर सकते हैं अकाउंट डिटेल्स चोरी
विज्ञापन
हैदराबाद स्थित अंतर्राष्ट्रीय सूचना प्रौद्योगिकी संस्थान (IIIT) के रिसर्चर्स ने ऑटोस्पिल (AutoSpill) नाम के एक नए अटैक का खुलासा किया है, जिसे Android पर अकाउंट क्रेडेंशियल्स को चोरी करने के लिए डिजाइन किया गया है। रिसर्चर्स ने ब्लैक हैट यूरोप (Black Hat Europe) सुरक्षा सम्मेलन में अपनी इस रिपोर्ट को सबसे सामने रखा, जिससे पता चला कि अधिकांश Android पासवर्ड मैनेजर जावास्क्रिप्ट इंजेक्शन के बिना भी AutoSpill अटैक से खुद को बचाने में असमर्थ हो सकते हैं।

IIIT-H ने अपनी एक रिसर्च (via BleepingComputer) को Black Hat यूरोप के सुरक्षा सम्मेलन में सामने रखा, जिसमें साबित किया गया है कि Android पर कई पासवर्ड मैनेजर अकाउंट डिटेल्स को सुरक्षित रखने में अक्षम हैं। इन पासवर्ड मैनेजर को हैकर्स बिना जावास्क्रिप्ट इंजेक्शन के AutoSpill अटैक के जरिए हैक कर सकते हैं। Android सिस्टम में ऐप आमतौर पर वेब कंटेंट दिखाने के लिए वेबव्यू कंट्रोलर्स का उपयोग करते हैं, जैसे ऐप के भीतर लॉगिन पेज। ऐसा छोटे-स्क्रीन वाले डिवाइस को इस्तेमाल करने वाले यूजर्स का अनुभव बेहतर बनाने के लिए किया जाता है। इसमें यूजर्स को ब्राउजर पर भेजे जाने की जरूरत के बिना लॉग-इन उसी पेज पर उपलब्ध करा दिया जाता है।

अब यह असल में काम कैसे करता है? चलिए जानते हैं। जब कोई ऐप Facebook, Google या किसी अन्य सर्विस पर लॉग-इन करने के लिए पेज लोड करता है, तो अकसर देखा जाता है कि Android पर कोई भी पासवर्ड मैनेजर पहले से सेव उस अकाउंट के क्रिडेंशियल्स को अपने आप दिखा देता है और सबमिट करने का ऑप्शन देता है। ऐसा करने के लिए ऐप प्लेटफॉर्म के वेबव्यू फ्रेमवर्क का इस्तेमाल करते हैं।

रिपोर्ट में बताया गया है कि AutoSpill अटैक इस प्रक्रिया में कमजोरियों का फायदा उठाता है, जिससे हैकर्स को जावास्क्रिप्ट इंजेक्शन के बिना भी, इनवोकिंग ऐप पर ऑटो-फिल क्रेडेंशियल्स को एक्सेस करने की इजाजत मिलती है। यह भेद्यता ऑटोमेटिकली फिल किए गए डेटा की सुरक्षित हैंडलिंग के लिए जिम्मेदारी को लागू करने या स्पष्ट रूप से परिभाषित करने में Android की विफलता से पैदा होती है।

रिसर्चर्स ने Android वर्जन 10, 11 और 12 पर विभिन्न पासवर्ड मैनेजर के खिलाफ ऑटोस्पिल अटैक को टेस्ट किया। कमजोर पासवर्ड मैनेजर में 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048, और Keepass2Android 1.09c-r0 शामिल थे। Google Smart Lock 13.30.8.26 और Daslane 6.2221.3 ने ऑटोफिल के लिए एक अलग तकनीकी दृष्टिकोण अपनाया, जिसमें जब तक कि जावास्क्रिप्ट इंजेक्शन का उपयोग नहीं किया जाता, तब तक होस्ट ऐप में संवेदनशील डेटा लीक से बचा जा सके।

BleepingComputer ने इन सभी ऐप्स से इस मामले में टिप्पणी के लिए संपर्क किया। मामले में Google ने भी रिप्लाई किया और कहा, "Android डेवलपर्स द्वारा वेबव्यू का उपयोग विभिन्न तरीकों से किया जाता है, जिसमें उनके ऐप्स में उनकी स्वयं की सेवाओं के लिए लॉगिन पेज होस्ट करना शामिल है। यह समस्या इस बात से संबंधित है कि कैसे पासवर्ड मैनेजर वेबव्यू के साथ इंटरैक्ट करते समय ऑटोफिल एपीआई का लाभ उठाते हैं।"

कंपनी ने आगे कहा, "हम अनुशंसा करते हैं कि थर्ड-पार्टी पासवर्ड मैनेजर इस बात के प्रति संवेदनशील हों कि पासवर्ड कहां इनपुट किया जा रहा है, और हमारे पास WebView के वे सर्वोत्तम तरीके हैं जिन्हें हम सभी पासवर्ड मैनेजर्स को लागू करने की सलाह देते हैं। एंड्रॉयड पासवर्ड मैनेजर्स को नेटिव व्यू और वेबव्यू के बीच अंतर करने के लिए आवश्यक संदर्भ प्रदान करता है, साथ ही यह भी बताता है कि जो लोड किया जा रहा वेबव्यू होस्टिंग ऐप से संबंधित नहीं है।"

इसका उदाहरण देते हुए Google ने कहा, "एंड्रॉयड पर ऑटोफिल के लिए गूगल पासवर्ड मैनेजर का उपयोग करते समय यूजर्स को चेतावनी दी जाती है कि यदि वे किसी ऐसे डोमेन के लिए पासवर्ड दर्ज कर रहे हैं जो गूगल निर्धारित करता है कि होस्टिंग ऐप का स्वामित्व नहीं रखता है और पासवर्ड केवल उचित फील्ड में भरा जाता है। Google केवल WebView के जरिए लॉगिन के लिए सर्वर साइड सुरक्षा लागू करता है।"

कुछ अन्य पासवर्ड मैनेजर्स ने भी वेबसाइट को इसपर जवाब दिया है, जिन्हें आप इस रिपोर्ट में पढ़ सकते हैं।
Comments

लेटेस्ट टेक न्यूज़, स्मार्टफोन रिव्यू और लोकप्रिय मोबाइल पर मिलने वाले एक्सक्लूसिव ऑफर के लिए गैजेट्स 360 एंड्रॉयड ऐप डाउनलोड करें और हमें गूगल समाचार पर फॉलो करें।

नितेश पपनोई Nitesh has almost seven years of experience in news writing and reviewing tech products like smartphones, headphones, and smartwatches. At Gadgets 360, he is covering all ...और भी
Share on Facebook Gadgets360 Twitter ShareTweet Share Snapchat Reddit आपकी राय google-newsGoogle News
 
 

विज्ञापन

Advertisement

#ताज़ा ख़बरें
  1. Samsung Galaxy C55 5G फोन 8GB रैम और इस चिपसेट के साथ जल्द होगा लॉन्च! Geekbench पर हुआ लिस्ट
  2. इस देश के निवेशकों की बल्ले-बल्ले! Bitcoin और Ether के स्पॉट ETF की ट्रेडिंग शुरू
  3. Uber पर लगा 28,000 रुपये का जुर्माना, ड्राइवर ने ग्राहक से वसूले थे 27 रुपये ज्यादा
  4. इस Redmi फोन को खरीदने वाले को मिलेगी Xiaomi SU7 इलेक्ट्रिक कार! लेकिन पहले पढ़ लें ये शर्तें
  5. Vivo Y200i के डिजाइन का खुलासा! 6000mAh बैटरी के साथ जल्‍द हो सकता है लॉन्‍च
  6. Ola ने 10 हजार घटाई सबसे सस्ते इलेक्ट्रिक स्कूटर की कीमत, अब Activa से भी सस्ता
  7. Crypto Price Latest : बिटकॉइन ‘सुस्‍त’, Ether पर थोड़ा मुनाफा, Altcoins ने दिखाया दम
  8. Google Pixel 8a लॉन्‍च से पहले इस वेबसाइट पर दिखा, जानें पूरी डिटेल
  9. Apple नंबर-1 की पोजिशन से बाहर, मोबाइल शिपमेंट में यह कंपनी बनी किंग
  10. Realme P1 5G, Realme P1 Pro 5G फोन 5000mAh बैटरी, 16MP फ्रंट कैमरा के साथ लॉन्च, जानें सबकुछ
© Copyright Red Pixels Ventures Limited 2024. All rights reserved.
ट्रेंडिंग प्रॉडक्ट्स »
लेटेस्ट टेक ख़बरें »