Android पासवर्ड मैनेजर पर सुरक्षित नहीं है आपकी अकाउंट डिटेल्स! IIIT हैदराबाद की रिसर्च में खुलासा

IIIT-H ने अपनी एक रिसर्च को Black Hat यूरोप के सुरक्षा सम्मेलन में सामने रखा, जिसमें साबित किया गया है कि Android पर कई पासवर्ड मैनेजर अकाउंट डिटेल्स को सुरक्षित रखने में अक्षम हैं।

विज्ञापन
Written by नितेश पपनोई, अपडेटेड: 11 दिसंबर 2023 18:44 IST
ख़ास बातें
  • IIIT-H ने अपनी एक रिसर्च को Black Hat यूरोप के सुरक्षा सम्मेलन में सामने
  • Android पर कई पासवर्ड मैनेजर डिटेल्स को सुरक्षित रखने में अक्षम रहें
  • AutoSpill अटैक के जरिए हैकर्स कर सकते हैं अकाउंट डिटेल्स चोरी
हैदराबाद स्थित अंतर्राष्ट्रीय सूचना प्रौद्योगिकी संस्थान (IIIT) के रिसर्चर्स ने ऑटोस्पिल (AutoSpill) नाम के एक नए अटैक का खुलासा किया है, जिसे Android पर अकाउंट क्रेडेंशियल्स को चोरी करने के लिए डिजाइन किया गया है। रिसर्चर्स ने ब्लैक हैट यूरोप (Black Hat Europe) सुरक्षा सम्मेलन में अपनी इस रिपोर्ट को सबसे सामने रखा, जिससे पता चला कि अधिकांश Android पासवर्ड मैनेजर जावास्क्रिप्ट इंजेक्शन के बिना भी AutoSpill अटैक से खुद को बचाने में असमर्थ हो सकते हैं।

IIIT-H ने अपनी एक रिसर्च (via BleepingComputer) को Black Hat यूरोप के सुरक्षा सम्मेलन में सामने रखा, जिसमें साबित किया गया है कि Android पर कई पासवर्ड मैनेजर अकाउंट डिटेल्स को सुरक्षित रखने में अक्षम हैं। इन पासवर्ड मैनेजर को हैकर्स बिना जावास्क्रिप्ट इंजेक्शन के AutoSpill अटैक के जरिए हैक कर सकते हैं। Android सिस्टम में ऐप आमतौर पर वेब कंटेंट दिखाने के लिए वेबव्यू कंट्रोलर्स का उपयोग करते हैं, जैसे ऐप के भीतर लॉगिन पेज। ऐसा छोटे-स्क्रीन वाले डिवाइस को इस्तेमाल करने वाले यूजर्स का अनुभव बेहतर बनाने के लिए किया जाता है। इसमें यूजर्स को ब्राउजर पर भेजे जाने की जरूरत के बिना लॉग-इन उसी पेज पर उपलब्ध करा दिया जाता है।

अब यह असल में काम कैसे करता है? चलिए जानते हैं। जब कोई ऐप Facebook, Google या किसी अन्य सर्विस पर लॉग-इन करने के लिए पेज लोड करता है, तो अकसर देखा जाता है कि Android पर कोई भी पासवर्ड मैनेजर पहले से सेव उस अकाउंट के क्रिडेंशियल्स को अपने आप दिखा देता है और सबमिट करने का ऑप्शन देता है। ऐसा करने के लिए ऐप प्लेटफॉर्म के वेबव्यू फ्रेमवर्क का इस्तेमाल करते हैं।

रिपोर्ट में बताया गया है कि AutoSpill अटैक इस प्रक्रिया में कमजोरियों का फायदा उठाता है, जिससे हैकर्स को जावास्क्रिप्ट इंजेक्शन के बिना भी, इनवोकिंग ऐप पर ऑटो-फिल क्रेडेंशियल्स को एक्सेस करने की इजाजत मिलती है। यह भेद्यता ऑटोमेटिकली फिल किए गए डेटा की सुरक्षित हैंडलिंग के लिए जिम्मेदारी को लागू करने या स्पष्ट रूप से परिभाषित करने में Android की विफलता से पैदा होती है।

रिसर्चर्स ने Android वर्जन 10, 11 और 12 पर विभिन्न पासवर्ड मैनेजर के खिलाफ ऑटोस्पिल अटैक को टेस्ट किया। कमजोर पासवर्ड मैनेजर में 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048, और Keepass2Android 1.09c-r0 शामिल थे। Google Smart Lock 13.30.8.26 और Daslane 6.2221.3 ने ऑटोफिल के लिए एक अलग तकनीकी दृष्टिकोण अपनाया, जिसमें जब तक कि जावास्क्रिप्ट इंजेक्शन का उपयोग नहीं किया जाता, तब तक होस्ट ऐप में संवेदनशील डेटा लीक से बचा जा सके।
Advertisement

BleepingComputer ने इन सभी ऐप्स से इस मामले में टिप्पणी के लिए संपर्क किया। मामले में Google ने भी रिप्लाई किया और कहा, "Android डेवलपर्स द्वारा वेबव्यू का उपयोग विभिन्न तरीकों से किया जाता है, जिसमें उनके ऐप्स में उनकी स्वयं की सेवाओं के लिए लॉगिन पेज होस्ट करना शामिल है। यह समस्या इस बात से संबंधित है कि कैसे पासवर्ड मैनेजर वेबव्यू के साथ इंटरैक्ट करते समय ऑटोफिल एपीआई का लाभ उठाते हैं।"

कंपनी ने आगे कहा, "हम अनुशंसा करते हैं कि थर्ड-पार्टी पासवर्ड मैनेजर इस बात के प्रति संवेदनशील हों कि पासवर्ड कहां इनपुट किया जा रहा है, और हमारे पास WebView के वे सर्वोत्तम तरीके हैं जिन्हें हम सभी पासवर्ड मैनेजर्स को लागू करने की सलाह देते हैं। एंड्रॉयड पासवर्ड मैनेजर्स को नेटिव व्यू और वेबव्यू के बीच अंतर करने के लिए आवश्यक संदर्भ प्रदान करता है, साथ ही यह भी बताता है कि जो लोड किया जा रहा वेबव्यू होस्टिंग ऐप से संबंधित नहीं है।"
Advertisement

इसका उदाहरण देते हुए Google ने कहा, "एंड्रॉयड पर ऑटोफिल के लिए गूगल पासवर्ड मैनेजर का उपयोग करते समय यूजर्स को चेतावनी दी जाती है कि यदि वे किसी ऐसे डोमेन के लिए पासवर्ड दर्ज कर रहे हैं जो गूगल निर्धारित करता है कि होस्टिंग ऐप का स्वामित्व नहीं रखता है और पासवर्ड केवल उचित फील्ड में भरा जाता है। Google केवल WebView के जरिए लॉगिन के लिए सर्वर साइड सुरक्षा लागू करता है।"
Advertisement

कुछ अन्य पासवर्ड मैनेजर्स ने भी वेबसाइट को इसपर जवाब दिया है, जिन्हें आप इस रिपोर्ट में पढ़ सकते हैं।
 

लेटेस्ट टेक न्यूज़, स्मार्टफोन रिव्यू और लोकप्रिय मोबाइल पर मिलने वाले एक्सक्लूसिव ऑफर के लिए गैजेट्स 360 एंड्रॉयड ऐप डाउनलोड करें और हमें गूगल समाचार पर फॉलो करें।

Nitesh has almost seven years of experience in news writing and reviewing tech ...और भी
Advertisement
Popular Brands
#ट्रेंडिंग टेक न्यूज़
  1. OnePlus 13s vs iPhone 16e vs Vivo X200 FE: तीनों के बीच कड़ी टक्कर,देखें कौन है बेस्ट
#ताज़ा ख़बरें
  1. OnePlus 13s vs iPhone 16e vs Vivo X200 FE: तीनों के बीच कड़ी टक्कर,देखें कौन है बेस्ट
  2. Google Pay, Paytm और PhonePe यूजर्स के लिए बड़ा अपडेट, अब बार-बार नहीं कर पाएंगे ये काम, 1 अगस्त से लागू होंगे
  3. आपके नाम पर कितने सिम कार्ड हैं रजिस्टर्ड, घर बैठे ऐसे करें चेक
  4. MG Motor ने भारत में लॉन्च की इलेक्ट्रिक स्पोर्ट्स कार Cyberster, 200 kmph की टॉप स्पीड 
  5. iQOO जल्द लॉन्च करेगी Z10 Turbo+, MediaTek Dimensity 9400+ चिपसेट
  6. Battlefield 6 गेम का धमाकेदार ट्रेलर रिलीज, 31 जुलाई को दिखाया जाएगा मल्टीप्लेयर गेमप्ले; यहां देखें वीडियो
  7. Honor Pad X7 टैबलेट 7020mAh बैटरी, लेटेस्ट Android 15 OS के साथ हुआ लॉन्च, जानें कीमत
  8. भारत ने किया ULPGM-V3 का सफल टेस्ट, ड्रोन से छोड़ी जाती है मिसाइल, जानें सब कुछ
  9. Amazon की Great Freedom Festival 2025 Sale 1 अगस्त से होगी शुरू, मिलेंगे ये ऑफर्स
  10. Lava ने 50MP कैमरा, 5000mAh बैटरी वाला किफायती फोन Blaze Dragon 5G किया लॉन्च, जानें कीमत
Download Our Apps
Available in Hindi
© Copyright Red Pixels Ventures Limited 2025. All rights reserved.