Йоркский университет обнаружил уязвимости менеджеров паролей

Иллюстрация статьи "Йоркский университет обнаружил уязвимости менеджеров паролей"
Автор: Alexandra
Обновлено:
Автор: Alexandra

Сотрудники Йоркского университета в марте 2020 года представили результаты многолетнего исследования на тему кибербезопасности. В ходе него ими были проанализированы 5 популярных менеджеров паролей: 1Password, Dashlane, RoboForm, Keeper и LastPass. Авторы работы искали в сервисах уязвимости, способные повлечь за собой утечку пользовательских данных. По словам сотрудников университета, уязвимости менеджеров паролей были обнаружены во многих случаях.

Одной из проблем безопасности стала вредоносная программа, имитирующая окно авторизации от Google. Сервису не удавалось распознать подделку, в связи с чем логи и пароль пользователя могли быть украдены. Однако утечка данных могла произойти только при выполнении ряда условий. Например, вредоносное приложение должно было быть установлено на устройство пользователя и т. д.

Другой проблемой стала уязвимость менеджеров паролей, устанавливаемых в виде приложений для Android. По данным исследователей, они могут подвергаться фишинговым атакам. В рамках них вредоносное приложение могло выдать себя за оригинал, используя идентичное имя. Наиболее уязвимыми к ним оказались 1Password и LastPass.

Ещё одна уязвимость менеджеров паролей касается PIN-кодов, вводимых пользователем для авторизации. Во многих сервисах установлено ограничение на количество попыток ввода PIN. Однако в Dashlane и RoboForm обнаружился опасный недостаток. Так, у пользователя есть две попытки для ввода кода, после которых ему достаточно очистить кэш, чтобы продолжить подбирать верную комбинацию. Таким образом, становится возможным взлом брут-форсом.

Таблица уязвимостей менеджеров паролей
Фрагмент исследования Йоркского университета

Выявленные исследователями уязвимости менеджеров паролей также касались возможности утечки данных при использовании различных протоколов (HTTP и HTTPS), субдоменов сайтов и буфера обмена. По словам сотрудников университета, они уже оповестили провайдеров всех сервисов, на базе которых проводилась научная работа, о существующих уязвимостях. О том, для чего нужны менеджеры паролей и как ими пользоваться, вы можете прочитать в наших статьях.

Вам также могут быть интересны эти статьи:

Видеозвонки в Телеграм для Android доступны в бета-версии

Буря в стакане или Telegram против CSW

Проблемы у Telegram начались в США, так как "Коалиция за безопасный интернет" (Coalition for a Safer Web) подала иск в суд на Telegram за якобы экстремистские высказывания, которые пользователи распространяли в переписках через мессенджер незадолго  до штурма капитолия в США. По требованиям коалиции Telegram должен быть удален с таких площадок приложений для мобильных устройств, как Google Play и Apple Store. Основной причиной, по которой данная претензия была передана в суд, является бездействие руководства Telegram и отсутствие мер для пресечения и распространения таких сообщений.Некоторые эксперты считают, что, вероятнее всего, это может быть просто сторонняя провокация, так как из-за блокировки социальной сети Parler и изменения условий конфиденциальности в WhatsApp многие пользователи решили перейти в Telegram. Павел Дуров отметил, что с начала января 2021 года число клиентов мессенджера выросло на 25 млн, что стало рекордным показателем. Общее количество пользователей Telegram во всем мире достигло 500 млн.Так же этот иск затронет компании Google и Apple, и, если они потребуют от Telegram удалить какие-то каналы и предоставят факты, подтверждающие недопустимость контента, то мессенджер, вероятнее всего, пойдет на уступки. Возможны несколько вариантов развития событий, но наиболее вероятно, что модераторы выйдут на администраторов пабликов и групповых чатов и добьются от них усиления контроля за публикуемым контентом, а также некоторые корректировки уже опубликованного.Хотелось бы верить, что Павел Дуров с советом директоров уже задумался о создании мобильной браузерной версии мессенджера, а также о переходе текущего мобильного приложения Telegram на свои сервера с независимой инфраструктурой, чтобы на мессенджер не повлиял отказ сторонних компаний от хостинга, как это было с Amazon при блокировке Роскомнадзором.Также в начале января Дуров в своем Telegram-канале писал о разработке стабильной веб-версии для ПК, не привязанной к площадкам AppStore и Google Play. Исходя из этого, можно понять, что работа в данном направлении ведется уже давно, но не было особого повода, чтобы это афишировать, - теперь же повод есть. Если работа в данном направлении будет завершена в ближайшее время, то это позволит мессенджеру дистанцироваться от корпораций и приобрести большую независимость.

Комментарии 0
Читать
Видеозвонки от Яндекс доступны в виде отдельного сервиса

Предновогодние обновления мессенджеров

Вот и пришла предновогодняя пора, все стараются закончить свои дела, чтобы со спокойной совестью встретить Новый Год! Разработчики мессенджеров тоже следуют этому негласному правилу и радуют нас предновогодними обновлениями, о которых мы и поговорим.WhatsappВ последние полгода данный продукт очень активно развивался, добавляя понемногу новые функции. Тут тебе и исчезающие сообщения по таймеру, и интеграция с сервисом Facebook, и даже поиск в интернете прямо из чата! Перед Новым годом разработчики решили сделать особенный подарок - возможность выкладывать свои товары и создать свой интернет магазин есть в приложении Whatsapp Business. Теперь обновленная корзина позволяет отслеживать приобретенный товар для каждого пользователя сразу, что значительно упрощает общение между продавцом и покупателем. Для покупателей новый функционал значительно упростил выбор покупок в особо крупных интернет-магазинах, позволяя собрать заказ и отправить его одним сообщением, а не для каждого в отдельности, как это было раньше.Facebook MessengerРазработчики данного продукта тоже не остались в стороне, стараясь закончить работу с последними обновлениями, которые позволили устанавливать их продукт на десктопные версии MAC и Windows для использования на большом экране. Их обновление относилось исключительно к Новому году, в нем было добавлено множество новогодних смайликов, а также возможность дополнения фона на новогоднюю тему при видеозвонке.ViberТут тоже не обошлось без некоторых обновлений: разработчики успешно внедряют интеграцию с оплатами для чат-ботов с верификацией от Google Pay и Apple Pay, при этом заверяют, что благодаря данной верификации ни одна третья сторона, в том числе Viber, не сможет получить данные о платежах. Кроме того, Viber настроен на разностороннюю интеграцию с различными мессенджерами. На данный момент уже успели реализовать интеграцию с WhatsApp, Facebook Messenger, Wechat или Signal и планируют в будущем как можно больше расширить этот список.Также узнать о том, какие мессенджеры бывают и сравнить их качество вы сможете, прочитав нашу статью. Плюсы и минусы мессенджеров вы узнаете из наших рецензий. Вы можете скачать мессенджеры на нашем сайте.С наступающим Вас новым годом!

Комментарии 0
Читать
Скачать Wrike

Предновогодние обновления Wrike

Команда Wrike провела масштабную виртуальную конференцию Virtual Collaborate 2020, где обсуждался дальнейший путь развития данного продукта. Wrike также представила несколько новых обновлений. Сама конференция была проведена на платформе Wrike, стоит отметить, что данную конференцию посетило более 6000 человек! Теперь поговорим про сами обновления, так как там действительно есть на что посмотреть.Первое что бросается в глаза, это новый интерфейс рабочего пространства. Оно стало более компактным и полностью настраиваемым - по заверениям разработчиков это поможет настроить свой рабочий стол под себя, полностью исключив отвлекающие факторы, которые снижают эффективность работы.Рабочая аналитика - один из наиболее полезных инструментов для руководителей. Данная функция поможет определить множество переменных в любом проекте, начиная от эффективности сотрудников, заканчивая общим прогрессом и затрачиваемыми ресурсами. Помимо этого, есть дополнительный функционал, который выпустили или выпустят в ближайшее время: прогнозирование проектных рисков; функция «Умный ответ» (для Android); обработка документов с оптическим распознаванием символов (OCR); голосовые команды (для iOS, пока еще не реализовано, находится в бета-версии); приоритизация задач (готовится к выпуску).Для прогнозирования рисков используется система машинного обучения, которая может заранее предупредить об потенциальных проблемах в ходе работы проекта.Умный ответ - это функция, которая построена на машинном обучении. Она позволяет отвечать на любое сообщение, в котором вас упомянули, одной из трех фраз, которые сгенерирует система. В настоящее время функция «Умный ответ» поддерживается на английском языке на устройствах iOS и Android.OCR позволит переводить в текстовый формат сфотографированные документы и тексты, которые были написаны от руки.Чаще всего для настройки автоматизации работы задач требуются знания по программированию, но команда Wrike упростила этот процесс настолько, что сможет разобраться любой. Теперь в данной системе описаны все возможные действия и требуемые реакции, которые можно проставить в два щелчка мыши. Самый простой пример: Если Николай закроет задачу до 24.12.2020 то система отправит письмо с определенным текстом Елене.Плюсы и минусы сервиса Wrike вы можете прочитать в нашей статье. Поможем выбрать сервис управления проектами. Также вы можете скачать Wrike на нашем сайте.

Комментарии 0
Читать
Подписаться
Уведомление о
guest

0 комментариев
Inline Feedbacks
View all comments