Android'deki en popüler mobil şifre yöneticilerinden bazıları, kullanıcılar için mümkün olan en kötü soruna neden olabilecek ciddi bir güvenlik açığına sahip olabilir.
"Autospill" olarak bilinen güvenlik açığı, Android cihazlardaki otomatik doldurma işlevindeki bir hatadan kaynaklanıyor ve kullanıcıların kimlik bilgilerinin sızdırılmasına neden oluyor olabilir.
Bu açık, Uluslararası Bilgi Teknolojileri Enstitüsü (IIIT) Hyperabad'daki araştırmacılar tarafından keşfedildi ve araştırmacılar bulgularını son Black Hat Europe konferansında sundular.
Mobil Şifre Yöneticilerindeki Açığa Ne Sebep Oluyor?
Sorun, bir uygulama giriş sayfası, Google'ın geliştiricilerin bir tarayıcıya girmeden bir uygulama içinde web içeriğini görüntülemesine izin veren motoru WebView'da yüklendiğinde ortaya çıkıyor.
Konuyla ilgilenen araştırmacılardan Ankit Gangwal, TechCrunch'a verdiği demeçte, bu durumun parola yöneticisinin parolayı nerede otomatik olarak dolduracağı konusunda kafasını karıştırdığını ve bunun yerine yanlışlıkla "kimlik bilgilerini temel uygulamaya ifşa edebileceğini" söyledi.
Açıktan Hangi Mobil Şifre Yöneticileri Etkilendi?
Gangwal bu durumun kötü niyetli uygulamalar için önemli bir tehdit oluşturduğunu, zira bu uygulamaların kimlik avı için herhangi bir operasyon yürütmelerine gerek kalmadan kullanıcının kimlik bilgilerini otomatik olarak elde etmek için bu açıktan faydalanabileceklerini belirtiyor.
Araştırmacıların bu açığı test ettiklerini iddia ettikleri parola yöneticileri arasında en popüler ve en iyi parola yöneticilerinden bazıları olan 1Password, LastPass, Keeper ve Enpass yer alıyor. Araştırmacılar ayrıca kullandıkları Android cihazların yeni ve güncel olduğunu belirttiler.
Peki siz mobil platformlarda şifre yönetici uygulamalar kullanıyor musunuz? Aşağıdaki yorumlar kısmından bizimle paylaşabilirsiniz.
YORUMLAR