هجوم جديد يسمى AutoSpill قادر على استعادة أسماء المستخدمين وكلمات المرور المخزنة في المديرين. ويتم ذلك في وقت محدد ودون أن يلاحظ المستخدم.
بدلا منسرقة الأموال مباشرة من حسابك المصرفيأوالعملات المشفرة، الالمتسللينيمكن أن تستهدفتسجيلات الدخول وكلمات المرورالتي تستخدمها للاتصال بخدمات مختلفة عبر الإنترنت. طريقة للوصول إليهم مع ترك آثار أقل. لمنع أي شخص من تخمين السمسم الخاص بك، لقد اعتدت على الاحتفاظ به في مكان مامدير كلمة المرورحتى يكونوا كذلكتم إنشاؤها بشكل عشوائيوآخرونمخزنة بشكل آمن.
لسوء الحظ، على الرغم من كونها محمية، إلا أن هذه البرامج ليست مضمونة. نحن نتذكر ذلكتعرض LastPass لهجومين إلكترونيين كبيرينبعد ذلكوغادر القراصنة بما يعادل 4.2 مليون يورو. وكأن ذلك لم يكن كافيا، فقد قال باحثون منالمعهد الدولي لتكنولوجيا المعلوماتاكتشف نوع جديد من الهجوم يسمىلعبة السيارة. تؤثر علىمديري كلمات المرور على أندرويد، يحدث في اللحظة التييكمل التطبيق معلومات تسجيل الدخول تلقائيًا.
يقوم هجوم AutoSpill بسرقة أسماء المستخدمين وكلمات المرور المحفوظة في بعض المديرين
لكي تفهم، عليك أن تعرف أن معظم تطبيقات Android تستخدمعرض ويبصبعرض محتوى الويب. على سبيل المثال، يتيح لك هذا رؤية صفحة تسجيل الدخول الخاصة بالخدمة مباشرة في التطبيق، بدلاً من إعادة توجيهك في المتصفح. يستخدم مديرو كلمات مرور Android أيضًا WebView لملء بيانات الاعتماد تلقائيًا. وهنا يكمن الخلل، ويمكن استغلاله حتىدون أن يقوم المتسلل بحقن كود JavaScriptلتنفيذ أوامر معينة.
إقرأ أيضاً –أندرويد: 12 مليون مستخدم مهددون بالقتل والابتزاز عبر التطبيقات
يستفيد AutoSpill من حقيقة أن Android لا يحدد بدقة (أو لا يمكنه التحديد)من المسؤول عن تأمين البياناتالمرور أثناء الإكمال التلقائي. في حالة الهجوم، يمكن أن يقوم تطبيق مزيف يعرض صفحة تسجيل الدخول بسرقة المعلوماتدون أن يدرك المستخدم ذلك.
تم اختبار الفرققفل جوجل الذكي,داشلان,1كلمة المرور,لاست باس,تجاوز,Keepass2Androidوآخرونحارس. وحيدGoogle Smart Lock وDashlane ليسا عرضة لـ AutoSpill بلا حقن جافا سكريبت. إذا كان هناك واحد، فإن الجميع يتأثر. وقد أشار المتحدثون باسم 1Password وLastPass وKeeper Security وGoogle إما إلى أنهم يعملون على إصلاح المشكلة أو أن لديهم بالفعل أمانًا ضد هذا النوع من الهجمات.
مصدر :الكمبيوتر النائم