Tech
હેકર્સ: IIIT-હૈદરાબાદના સંશોધકો દર્શાવે છે કે હેકર્સ એન્ડ્રોઇડ પાસવર્ડ મેનેજર દ્વારા એકાઉન્ટની વિગતો કેવી રીતે ચોરી શકે છે, ગૂગલ જવાબ આપે છે
બ્લેક હેટ યુરોપ સુરક્ષા પરિષદમાં એક પ્રસ્તુતિમાં, હૈદરાબાદ ખાતે ઈન્ટરનેશનલ ઈન્સ્ટિટ્યૂટ ઓફ ઈન્ફોર્મેશન ટેકનોલોજી (આઈઆઈઆઈટી) ના સંશોધકોએ જણાવ્યું હતું કે તેમના પરીક્ષણો દર્શાવે છે કે મોટાભાગના પાસવર્ડએન્ડ્રોઇડ માટેના મેનેજરો ઓટોસ્પિલ માટે સંવેદનશીલ છે, એક નવો હેકિંગ હુમલો કે જે તેઓએ શોધ્યું છે, પછી ભલે ત્યાં જાવાસ્ક્રિપ્ટ ઇન્જેક્શન ન હોય. બ્લીપિંગ કોમ્પ્યુટર્સના એક અહેવાલ મુજબ, આ સંશોધકોએ બતાવ્યું કે કેવી રીતે આ નબળાઈ દૂષિત એપ્લિકેશનોને જાવાસ્ક્રિપ્ટ ઈન્જેક્શનનો ઉપયોગ કર્યા વિના પણ, ઓટોફિલ પ્રક્રિયા દરમિયાન વપરાશકર્તાના ડેટાની ચોરી કરવાની મંજૂરી આપે છે. Android પરના આ પાસવર્ડ મેનેજર્સ વપરાશકર્તાના એકાઉન્ટ ઓળખપત્રોને આપમેળે ટાઈપ કરવા માટે પ્લેટફોર્મના વેબવ્યુ ફ્રેમવર્કનો ઉપયોગ કરે છે. જ્યારે કોઈ એપ એપલ, ફેસબુક, માઈક્રોસોફ્ટ અથવા જેવી સેવાઓ પર લોગિન પેજ લોડ કરે છેGoogle.
ઓટોસ્પિલ કેવી રીતે કામ કરે છે
ઘણી Android એપ્લિકેશનો લોગિન પૃષ્ઠો સહિત, એપ્લિકેશનમાં જ વેબ સામગ્રી પ્રદર્શિત કરવા માટે WebView નિયંત્રણોનો ઉપયોગ કરે છે. આ વપરાશકર્તાઓને મુખ્ય બ્રાઉઝર પર રીડાયરેક્ટ કરવાની જરૂરિયાતને દૂર કરે છે, જે નાની સ્ક્રીન પર બોજારૂપ હોઈ શકે છે.
પાસવર્ડ મેનેજર્સ એપલ, ફેસબુક, માઈક્રોસોફ્ટ અથવા ગૂગલ જેવી લોકપ્રિય સેવાઓ માટે લોગિન પેજને એક્સેસ કરતા હોવાથી વપરાશકર્તા ઓળખપત્રોને આપમેળે ભરવા માટે Android ના વેબવ્યુ ફ્રેમવર્કનો લાભ લે છે. કમનસીબે, સંશોધકોએ આ સિસ્ટમમાં નબળાઈઓનો ઉપયોગ કરવાની અને જાવાસ્ક્રિપ્ટને ઇન્જેક્શન આપ્યા વિના પણ, સ્વતઃ-ભરેલા ઓળખપત્રો મેળવવાની રીત શોધી કાઢી.
જો કે, JavaScript ઈન્જેક્શનને સક્ષમ કરવાથી બધું જ બને છે એન્ડ્રોઇડ પાસવર્ડ મેનેજર ઑટોસ્પિલ હુમલાઓ માટે સંવેદનશીલ.
આ હેકનું કારણ શું છે
એન્ડ્રોઇડની સ્પષ્ટ દિશાનિર્દેશો અથવા સ્વતઃ-ભરેલા ડેટાના સુરક્ષિત સંચાલનને લગતી અમલીકરણ પદ્ધતિઓના અભાવમાં મુખ્ય સમસ્યા હોવાનું કહેવાય છે. આ અસ્પષ્ટતા દૂષિત એપ્લિકેશનો માટે સંવેદનશીલ માહિતીને અટકાવવા અને ચોરી કરવા માટે જગ્યા છોડે છે. વાસ્તવિક હુમલાના સંજોગોમાં, લૉગિન ફોર્મ પ્રદર્શિત કરતી બદમાશ એપ્લિકેશન કોઈપણ સમાધાનની નિશાની છોડ્યા વિના વપરાશકર્તાના ઓળખપત્રોને ચૂપચાપ કેપ્ચર કરી શકે છે.
પાસવર્ડ મેનેજર કે જે ‘નિષ્ફળ’
IIIT સંશોધકોએ એન્ડ્રોઇડ 10, 11 અને 12 પર ઘણા લોકપ્રિય પાસવર્ડ મેનેજર્સમાં ઑટોસ્પિલનું પરીક્ષણ કર્યું હોવાનો દાવો કર્યો હતો. તેમને જાણવા મળ્યું કે નીચેની એપ્લિકેશનો સંવેદનશીલ હતી:
* 1પાસવર્ડ 7.9.4
* લાસ્ટપાસ 5.11.0.9519
* Enpass 6.8.2.666
* કીપર 16.4.3.1048
* Keepass2Android 1.09c-r0
પાસવર્ડ મેનેજર કે જેણે ડેટા લીક કર્યો નથી
આ નબળાઈઓ એન્ડ્રોઈડના મૂળ ઓટોફિલ ફ્રેમવર્ક પરની તેમની નિર્ભરતાને કારણે ઉદ્ભવી છે. જો કે, બે પાસવર્ડ મેનેજર, Google Smart Lock 13.30.8.26 અને DashLane 6.2221.3, ઓટોફિલિંગ માટે અલગ તકનીકી અભિગમનો ઉપયોગ કરે છે. પરિણામે, તેઓ હોસ્ટ એપ્લિકેશન પર સંવેદનશીલ ડેટા લીક કરતા ન હતા સિવાય કે JavaScript ઈન્જેક્શનનો ખાસ ઉપયોગ કરવામાં આવ્યો હોય.
ગૂગલે શું કહ્યું
ગૂગલના પ્રવક્તાએ બ્લીપિંગ કોમ્પ્યુટરને જણાવ્યું હતું કે, “વેબવ્યુનો ઉપયોગ એન્ડ્રોઇડ ડેવલપર્સ દ્વારા વિવિધ રીતે કરવામાં આવે છે, જેમાં તેમની એપ્સમાં તેમની પોતાની સેવાઓ માટે હોસ્ટિંગ લોગિન પેજનો સમાવેશ થાય છે. આ મુદ્દો વેબ વ્યૂ સાથે ક્રિયાપ્રતિક્રિયા કરતી વખતે પાસવર્ડ મેનેજર્સ ઓટોફિલ API નો લાભ કેવી રીતે લે છે તેનાથી સંબંધિત છે.
અમે ભલામણ કરીએ છીએ કે તૃતીય-પક્ષ પાસવર્ડ મેનેજરો પાસવર્ડ્સ ક્યાં ઇનપુટ કરવામાં આવે છે તે અંગે સંવેદનશીલ હોય અને અમારી પાસે WebView શ્રેષ્ઠ પ્રથાઓ છે જેનો અમે તમામ પાસવર્ડ મેનેજરો અમલ કરવાની ભલામણ કરીએ છીએ. એન્ડ્રોઇડ પાસવર્ડ મેનેજર્સને મૂળ દૃશ્યો અને વેબ વ્યૂ વચ્ચે તફાવત કરવા માટે જરૂરી સંદર્ભ સાથે તેમજ વેબવ્યૂ લોડ થઈ રહ્યું છે તે હોસ્ટિંગ એપ્લિકેશન સાથે સંબંધિત નથી કે કેમ તે પ્રદાન કરે છે.
ઉદાહરણ તરીકે, Android પર ઑટોફિલ માટે Google પાસવર્ડ મેનેજરનો ઉપયોગ કરતી વખતે, વપરાશકર્તાઓને ચેતવણી આપવામાં આવે છે કે જો તેઓ એવા ડોમેન માટે પાસવર્ડ દાખલ કરી રહ્યાં હોય જે Google નક્કી કરે છે કે હોસ્ટિંગ ઍપની માલિકી ન હોઈ શકે, અને પાસવર્ડ માત્ર યોગ્ય ફીલ્ડમાં જ ભરવામાં આવે છે. Google WebView દ્વારા લૉગિન માટે સર્વર સાઇડ પ્રોટેક્શન લાગુ કરે છે.”
ઓટોસ્પિલ કેવી રીતે કામ કરે છે
ઘણી Android એપ્લિકેશનો લોગિન પૃષ્ઠો સહિત, એપ્લિકેશનમાં જ વેબ સામગ્રી પ્રદર્શિત કરવા માટે WebView નિયંત્રણોનો ઉપયોગ કરે છે. આ વપરાશકર્તાઓને મુખ્ય બ્રાઉઝર પર રીડાયરેક્ટ કરવાની જરૂરિયાતને દૂર કરે છે, જે નાની સ્ક્રીન પર બોજારૂપ હોઈ શકે છે.
પાસવર્ડ મેનેજર્સ એપલ, ફેસબુક, માઈક્રોસોફ્ટ અથવા ગૂગલ જેવી લોકપ્રિય સેવાઓ માટે લોગિન પેજને એક્સેસ કરતા હોવાથી વપરાશકર્તા ઓળખપત્રોને આપમેળે ભરવા માટે Android ના વેબવ્યુ ફ્રેમવર્કનો લાભ લે છે. કમનસીબે, સંશોધકોએ આ સિસ્ટમમાં નબળાઈઓનો ઉપયોગ કરવાની અને જાવાસ્ક્રિપ્ટને ઇન્જેક્શન આપ્યા વિના પણ, સ્વતઃ-ભરેલા ઓળખપત્રો મેળવવાની રીત શોધી કાઢી.
જો કે, JavaScript ઈન્જેક્શનને સક્ષમ કરવાથી બધું જ બને છે એન્ડ્રોઇડ પાસવર્ડ મેનેજર ઑટોસ્પિલ હુમલાઓ માટે સંવેદનશીલ.
આ હેકનું કારણ શું છે
એન્ડ્રોઇડની સ્પષ્ટ દિશાનિર્દેશો અથવા સ્વતઃ-ભરેલા ડેટાના સુરક્ષિત સંચાલનને લગતી અમલીકરણ પદ્ધતિઓના અભાવમાં મુખ્ય સમસ્યા હોવાનું કહેવાય છે. આ અસ્પષ્ટતા દૂષિત એપ્લિકેશનો માટે સંવેદનશીલ માહિતીને અટકાવવા અને ચોરી કરવા માટે જગ્યા છોડે છે. વાસ્તવિક હુમલાના સંજોગોમાં, લૉગિન ફોર્મ પ્રદર્શિત કરતી બદમાશ એપ્લિકેશન કોઈપણ સમાધાનની નિશાની છોડ્યા વિના વપરાશકર્તાના ઓળખપત્રોને ચૂપચાપ કેપ્ચર કરી શકે છે.
પાસવર્ડ મેનેજર કે જે ‘નિષ્ફળ’
IIIT સંશોધકોએ એન્ડ્રોઇડ 10, 11 અને 12 પર ઘણા લોકપ્રિય પાસવર્ડ મેનેજર્સમાં ઑટોસ્પિલનું પરીક્ષણ કર્યું હોવાનો દાવો કર્યો હતો. તેમને જાણવા મળ્યું કે નીચેની એપ્લિકેશનો સંવેદનશીલ હતી:
* 1પાસવર્ડ 7.9.4
* લાસ્ટપાસ 5.11.0.9519
* Enpass 6.8.2.666
* કીપર 16.4.3.1048
* Keepass2Android 1.09c-r0
પાસવર્ડ મેનેજર કે જેણે ડેટા લીક કર્યો નથી
આ નબળાઈઓ એન્ડ્રોઈડના મૂળ ઓટોફિલ ફ્રેમવર્ક પરની તેમની નિર્ભરતાને કારણે ઉદ્ભવી છે. જો કે, બે પાસવર્ડ મેનેજર, Google Smart Lock 13.30.8.26 અને DashLane 6.2221.3, ઓટોફિલિંગ માટે અલગ તકનીકી અભિગમનો ઉપયોગ કરે છે. પરિણામે, તેઓ હોસ્ટ એપ્લિકેશન પર સંવેદનશીલ ડેટા લીક કરતા ન હતા સિવાય કે JavaScript ઈન્જેક્શનનો ખાસ ઉપયોગ કરવામાં આવ્યો હોય.
ગૂગલે શું કહ્યું
ગૂગલના પ્રવક્તાએ બ્લીપિંગ કોમ્પ્યુટરને જણાવ્યું હતું કે, “વેબવ્યુનો ઉપયોગ એન્ડ્રોઇડ ડેવલપર્સ દ્વારા વિવિધ રીતે કરવામાં આવે છે, જેમાં તેમની એપ્સમાં તેમની પોતાની સેવાઓ માટે હોસ્ટિંગ લોગિન પેજનો સમાવેશ થાય છે. આ મુદ્દો વેબ વ્યૂ સાથે ક્રિયાપ્રતિક્રિયા કરતી વખતે પાસવર્ડ મેનેજર્સ ઓટોફિલ API નો લાભ કેવી રીતે લે છે તેનાથી સંબંધિત છે.
અમે ભલામણ કરીએ છીએ કે તૃતીય-પક્ષ પાસવર્ડ મેનેજરો પાસવર્ડ્સ ક્યાં ઇનપુટ કરવામાં આવે છે તે અંગે સંવેદનશીલ હોય અને અમારી પાસે WebView શ્રેષ્ઠ પ્રથાઓ છે જેનો અમે તમામ પાસવર્ડ મેનેજરો અમલ કરવાની ભલામણ કરીએ છીએ. એન્ડ્રોઇડ પાસવર્ડ મેનેજર્સને મૂળ દૃશ્યો અને વેબ વ્યૂ વચ્ચે તફાવત કરવા માટે જરૂરી સંદર્ભ સાથે તેમજ વેબવ્યૂ લોડ થઈ રહ્યું છે તે હોસ્ટિંગ એપ્લિકેશન સાથે સંબંધિત નથી કે કેમ તે પ્રદાન કરે છે.
ઉદાહરણ તરીકે, Android પર ઑટોફિલ માટે Google પાસવર્ડ મેનેજરનો ઉપયોગ કરતી વખતે, વપરાશકર્તાઓને ચેતવણી આપવામાં આવે છે કે જો તેઓ એવા ડોમેન માટે પાસવર્ડ દાખલ કરી રહ્યાં હોય જે Google નક્કી કરે છે કે હોસ્ટિંગ ઍપની માલિકી ન હોઈ શકે, અને પાસવર્ડ માત્ર યોગ્ય ફીલ્ડમાં જ ભરવામાં આવે છે. Google WebView દ્વારા લૉગિન માટે સર્વર સાઇડ પ્રોટેક્શન લાગુ કરે છે.”
