पासवर्ड चुराने की नई तकनीक AutoSpill
ऑटोस्पिल (AutoSpill) नया हमला है, जो 1पासवर्ड, लास्टपास और अन्य जैसे लोकप्रिय एंड्रॉइड पासवर्ड मैनेजर ऐप्स से उपयोगकर्ता नाम और पासवर्ड चुरा सकता है।
ब्लैक हैट यूरोप 2023 सम्मेलन में एक प्रस्तुति में, अंतर्राष्ट्रीय सूचना प्रौद्योगिकी संस्थान (IIIT) हैदराबाद के शोधकर्ताओं ने कहा कि उन्होंने ऑटोस्पिल नामक एक नया हमला विकसित किया है जिसका उपयोग लोकप्रिय एंड्रॉइड पासवर्ड प्रबंधकों से उपयोगकर्ता नाम और पासवर्ड चुराने के लिए किया जा सकता है।
ऑटोस्पिल क्या है और यह कैसे काम करता है?
Microsoft, Google और Apple जैसी कई सेवाएँ वेब पेज खोलने के लिए Android के WebView फ्रेमवर्क का उपयोग करती हैं, जिससे उपयोगकर्ता मुख्य ब्राउज़र खोले बिना सेवाओं में तुरंत लॉग इन कर सकते हैं। एंड्रॉइड पासवर्ड मैनेजर लॉगिन पेज पर संबंधित खाता क्रेडेंशियल स्वचालित रूप से दर्ज करने के लिए वेबव्यू फ्रेमवर्क का भी उपयोग करते हैं।

 इसका मतलब यह है कि यदि कोई ऐप आपको वेबव्यू का उपयोग करके किसी सेवा में लॉग इन करने के लिए कहता है, तो यह ऑटोस्पिल का उपयोग करके आपके उपयोगकर्ता नाम और पासवर्ड को रोक सकता है और चुरा सकता है। शोध से पता चलता है कि यह समस्या ऑटोफिल डेटा के प्रबंधन के संबंध में एंड्रॉइड के स्पष्ट दिशानिर्देशों की कमी के कारण उत्पन्न होती है, जिससे खतरे वाले अभिनेताओं को बिना कोई निशान छोड़े संवेदनशील जानकारी चुराने की अनुमति मिलती है।
कौन से पासवर्ड मैनेजर ऑटोस्पिल के प्रति संवेदनशील हैं?
आईआईआईटी हैदराबाद के शोधकर्ताओं ने कहा कि उन्होंने एंड्रॉइड 10, 11 और 12 पर चलने वाले फोन और टैबलेट पर परीक्षण किया और पाया कि 1पासवर्ड, कीपर, एनपास, कीपास2एंड्रॉइड और लास्टपास जैसे लोकप्रिय पासवर्ड मैनेजर जावास्क्रिप्ट इंजेक्शन के बिना ऑटोस्पिल के लिए अतिसंवेदनशील हैं।
लेकिन Google स्मार्ट लॉक और डैशलेन प्रतिरक्षित प्रतीत होते हैं क्योंकि वे एक अलग तंत्र का उपयोग करते हैं। हालाँकि, जब जावास्क्रिप्ट इंजेक्शन का उपयोग किया जाता है तो उपरोक्त सभी पासवर्ड प्रबंधकों का उपयोग उपयोगकर्ता क्रेडेंशियल्स को लीक करने के लिए किया जा सकता है।