Android पासवर्ड मैनेजर पर सुरक्षित नहीं है आपकी अकाउंट डिटेल्स! IIIT हैदराबाद की रिसर्च में खुलासा

IIIT-H ने अपनी एक रिसर्च को Black Hat यूरोप के सुरक्षा सम्मेलन में सामने रखा, जिसमें साबित किया गया है कि Android पर कई पासवर्ड मैनेजर अकाउंट डिटेल्स को सुरक्षित रखने में अक्षम हैं।

विज्ञापन
Written by नितेश पपनोई, अपडेटेड: 11 दिसंबर 2023 18:44 IST
ख़ास बातें
  • IIIT-H ने अपनी एक रिसर्च को Black Hat यूरोप के सुरक्षा सम्मेलन में सामने
  • Android पर कई पासवर्ड मैनेजर डिटेल्स को सुरक्षित रखने में अक्षम रहें
  • AutoSpill अटैक के जरिए हैकर्स कर सकते हैं अकाउंट डिटेल्स चोरी
हैदराबाद स्थित अंतर्राष्ट्रीय सूचना प्रौद्योगिकी संस्थान (IIIT) के रिसर्चर्स ने ऑटोस्पिल (AutoSpill) नाम के एक नए अटैक का खुलासा किया है, जिसे Android पर अकाउंट क्रेडेंशियल्स को चोरी करने के लिए डिजाइन किया गया है। रिसर्चर्स ने ब्लैक हैट यूरोप (Black Hat Europe) सुरक्षा सम्मेलन में अपनी इस रिपोर्ट को सबसे सामने रखा, जिससे पता चला कि अधिकांश Android पासवर्ड मैनेजर जावास्क्रिप्ट इंजेक्शन के बिना भी AutoSpill अटैक से खुद को बचाने में असमर्थ हो सकते हैं।

IIIT-H ने अपनी एक रिसर्च (via BleepingComputer) को Black Hat यूरोप के सुरक्षा सम्मेलन में सामने रखा, जिसमें साबित किया गया है कि Android पर कई पासवर्ड मैनेजर अकाउंट डिटेल्स को सुरक्षित रखने में अक्षम हैं। इन पासवर्ड मैनेजर को हैकर्स बिना जावास्क्रिप्ट इंजेक्शन के AutoSpill अटैक के जरिए हैक कर सकते हैं। Android सिस्टम में ऐप आमतौर पर वेब कंटेंट दिखाने के लिए वेबव्यू कंट्रोलर्स का उपयोग करते हैं, जैसे ऐप के भीतर लॉगिन पेज। ऐसा छोटे-स्क्रीन वाले डिवाइस को इस्तेमाल करने वाले यूजर्स का अनुभव बेहतर बनाने के लिए किया जाता है। इसमें यूजर्स को ब्राउजर पर भेजे जाने की जरूरत के बिना लॉग-इन उसी पेज पर उपलब्ध करा दिया जाता है।

अब यह असल में काम कैसे करता है? चलिए जानते हैं। जब कोई ऐप Facebook, Google या किसी अन्य सर्विस पर लॉग-इन करने के लिए पेज लोड करता है, तो अकसर देखा जाता है कि Android पर कोई भी पासवर्ड मैनेजर पहले से सेव उस अकाउंट के क्रिडेंशियल्स को अपने आप दिखा देता है और सबमिट करने का ऑप्शन देता है। ऐसा करने के लिए ऐप प्लेटफॉर्म के वेबव्यू फ्रेमवर्क का इस्तेमाल करते हैं।

रिपोर्ट में बताया गया है कि AutoSpill अटैक इस प्रक्रिया में कमजोरियों का फायदा उठाता है, जिससे हैकर्स को जावास्क्रिप्ट इंजेक्शन के बिना भी, इनवोकिंग ऐप पर ऑटो-फिल क्रेडेंशियल्स को एक्सेस करने की इजाजत मिलती है। यह भेद्यता ऑटोमेटिकली फिल किए गए डेटा की सुरक्षित हैंडलिंग के लिए जिम्मेदारी को लागू करने या स्पष्ट रूप से परिभाषित करने में Android की विफलता से पैदा होती है।

रिसर्चर्स ने Android वर्जन 10, 11 और 12 पर विभिन्न पासवर्ड मैनेजर के खिलाफ ऑटोस्पिल अटैक को टेस्ट किया। कमजोर पासवर्ड मैनेजर में 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048, और Keepass2Android 1.09c-r0 शामिल थे। Google Smart Lock 13.30.8.26 और Daslane 6.2221.3 ने ऑटोफिल के लिए एक अलग तकनीकी दृष्टिकोण अपनाया, जिसमें जब तक कि जावास्क्रिप्ट इंजेक्शन का उपयोग नहीं किया जाता, तब तक होस्ट ऐप में संवेदनशील डेटा लीक से बचा जा सके।
Advertisement

BleepingComputer ने इन सभी ऐप्स से इस मामले में टिप्पणी के लिए संपर्क किया। मामले में Google ने भी रिप्लाई किया और कहा, "Android डेवलपर्स द्वारा वेबव्यू का उपयोग विभिन्न तरीकों से किया जाता है, जिसमें उनके ऐप्स में उनकी स्वयं की सेवाओं के लिए लॉगिन पेज होस्ट करना शामिल है। यह समस्या इस बात से संबंधित है कि कैसे पासवर्ड मैनेजर वेबव्यू के साथ इंटरैक्ट करते समय ऑटोफिल एपीआई का लाभ उठाते हैं।"

कंपनी ने आगे कहा, "हम अनुशंसा करते हैं कि थर्ड-पार्टी पासवर्ड मैनेजर इस बात के प्रति संवेदनशील हों कि पासवर्ड कहां इनपुट किया जा रहा है, और हमारे पास WebView के वे सर्वोत्तम तरीके हैं जिन्हें हम सभी पासवर्ड मैनेजर्स को लागू करने की सलाह देते हैं। एंड्रॉयड पासवर्ड मैनेजर्स को नेटिव व्यू और वेबव्यू के बीच अंतर करने के लिए आवश्यक संदर्भ प्रदान करता है, साथ ही यह भी बताता है कि जो लोड किया जा रहा वेबव्यू होस्टिंग ऐप से संबंधित नहीं है।"
Advertisement

इसका उदाहरण देते हुए Google ने कहा, "एंड्रॉयड पर ऑटोफिल के लिए गूगल पासवर्ड मैनेजर का उपयोग करते समय यूजर्स को चेतावनी दी जाती है कि यदि वे किसी ऐसे डोमेन के लिए पासवर्ड दर्ज कर रहे हैं जो गूगल निर्धारित करता है कि होस्टिंग ऐप का स्वामित्व नहीं रखता है और पासवर्ड केवल उचित फील्ड में भरा जाता है। Google केवल WebView के जरिए लॉगिन के लिए सर्वर साइड सुरक्षा लागू करता है।"
Advertisement

कुछ अन्य पासवर्ड मैनेजर्स ने भी वेबसाइट को इसपर जवाब दिया है, जिन्हें आप इस रिपोर्ट में पढ़ सकते हैं।
 

लेटेस्ट टेक न्यूज़, स्मार्टफोन रिव्यू और लोकप्रिय मोबाइल पर मिलने वाले एक्सक्लूसिव ऑफर के लिए गैजेट्स 360 एंड्रॉयड ऐप डाउनलोड करें और हमें गूगल समाचार पर फॉलो करें।

Nitesh has almost seven years of experience in news writing and reviewing tech ...और भी
Advertisement
Popular Brands
#ट्रेंडिंग टेक न्यूज़
  1. 99.99% तक बैक्टीरिया खत्म कर देगा ये चाइनीज कंपनी का फ्रिज!
#ताज़ा ख़बरें
  1. Apple के फोल्डेबल iPad का काम रुका! फोल्डेबल आईफोन की चल रही टेस्टिंग
  2. 99.99% तक बैक्टीरिया खत्म कर देगा ये चाइनीज कंपनी का फ्रिज!
  3. Elon Musk की टेस्ला को लगा बड़ा झटका, कंपनी के EV की सेल्स में भारी गिरावट
  4. Microsoft ने पाकिस्तान में 25 वर्षों के बाद बंद किया ऑफिस
  5. धरती के घूमने की रफ्तार जुलाई और अगस्त में 3 दिनों पर हो सकती है तेज
  6. Xiaomi दे रहा है फ्री WiFi, स्मार्ट होम और जिम वाला फ्लैट! इतना है किराया
  7. Google के इन स्मार्टफोन मालिकों की बल्ले-बल्ले, मिल रहा है12,800 रुपये का लाभ
  8. 1 इंसान 5 नौकरियां? Mouse Jiggler के जरिए खेला!
  9. Tech News Today: सोहम पारेख मूनलाइटिंग, Poco F7 सेल, YouTube मॉनिटाइजेशन और बहुत कुछ...
  10. अब स्मार्ट चश्मों से मार्केट में गर्दा उड़ाएगा Apple, 2027 से शुरू होगा असली खेल!
Download Our Apps
Available in Hindi
© Copyright Red Pixels Ventures Limited 2025. All rights reserved.