密码管理员可能会被误认为恶意Android应用程序是合法的

今天发布的一项新的学术研究表明，基于Android的密码管理器很难区分合法和虚假应用程序，从而导致轻松的网络钓鱼方案。

来自一份报告：该研究着眼于密码管理器如何在现代版本的Android操作系统上工作，以及哪些操作系统功能可以通过虚假，相似的应用程序通过网络钓鱼攻击滥用攻击者来收集用户凭据。研究团队发现，最初为桌面浏览器开发的密码管理器不如桌面版本安全。问题来自于移动密码管理员很难将用户存储的网站凭据与移动应用程序相关联，然后在该网站与官方应用程序之间创建链接。 研究人员说，他们测试了五个Android密码管理器在本地安装的应用程序和合法互联网站点之间创建内部地图（连接）的方式，并发现五个中的四个容易受到滥用。发现来自Keeper，Dashlane，LastPass和1Password的Android版密码管理器容易受到攻击，并促使用户在测试期间自动填写假应用程序的凭据。研究人员发现谷歌的Smart Lock应用程序并没有因为这个虚假的程序包名称而堕落，原因是它使用了一个名为Digital Asset Links的系统来验证应用程序并将其连接到特定的在线服务。