部分流行的密码管理器工具验证合法Android应用程序的方式中的设计Bug可被用于帮助攻击者对用户发起成功的网络钓鱼攻击。 [出自:jiwo.org]

意大利热那亚大学和Eurecom（法国信息和通信技术领域研究中心）的研究人员考查与Android应用程序同步的流行移动密码工具后得出结论：这些工具验证应用程序的方式可以让攻击者轻松地使用欺骗性应用程序挖掘受害者的凭证信息。

“我们在一线密码管理器中发现的设计Bug的数量和各种易受攻击的启发式方法表明，本文提供的见解并未得到社区的充分理解。滥用即时应用程序和隐藏字段的可能性使得这些攻击更成问题，也更具实用性。”

研究者调查了四款位处一线的第三方移动密码管理应用——Keeper、Dashlane、LastPass和1Password。许多移动应用程序密码管理器都有高级同步功能，允许用户从相关应用程序中同步与网站相关的凭证。这些特性利用应用程序包名称作为主要抽象来标识应用程序及其关联网站。

然而，这就是问题所在：即使应用程序不是真正的合法应用程序，某些应用程序也会错误地信任应用程序包名称（或其他元数据）。因此，恶意应用程序可能会系统地诱使密码管理器泄漏与任意攻击者选择的网站相关联的凭据。

在与移动密码管理器同步时，攻击者可以伪装应用程序的应用程序包名称，并模仿合法应用程序。然后，管理人员将使用该应用包名作为识别应用程序的主要方式（无需其他验证） 为攻击者轻松获取密码铺平了道路。这些攻击有效地使移动网络钓鱼变得更加实用，用户甚至不需要输入凭证。

开发方回应

LastPass负责人LogMeIn告诉媒体，问题的应对措施已经发布，现在应用程序现在需要明确的用户批准才能填写任何未知的应用程序。Keeper和LogMeIn都回应他们没有任何敏感用户数据被泄露或通过他们的平台发起网络钓鱼攻击的迹象。

1Passwor发言人表示，该公司正在通过“保护隐私的方式”实施数字资产链接来缓解这一问题.Android数字资产链接使应用程序能够公开，可验证其他应用程序的声明，使其更加透明地了解哪些应用程序是合法的。DashLane则没有回应媒体。

更安全的API设想

研究人员表示，应用程序同步机制中的关键问题是应用程序使用程序包名称作为其主要验证方法，不过这给开发人员带来了不小的挑战——需要将应用程序映射到相关的域名。但鉴于在管理器中发现的安全问题和错误信任假设的数量，他们认为不应该要求第三方开发人员实施这个关键步骤。

他们为此提出了一种新的安全设计API概念，通过使用域名作为密码管理器需要与之交互的唯一定义来实现安全设计机制，基本上可以直接提供给定应用程序与密码管理器和其他工具合法关联的域名列表。