നിരവധി സമൂഹമാധ്യമ അക്കൗണ്ടുകൾ, ബാങ്കിങ് സംവിധാനങ്ങൾ, ഇമെയ്ൽ സേവനങ്ങൾ ഇവയുടെയെല്ലാം പാസ്വേഡ് ഓർമിക്കാൻ ബുദ്ധിമുട്ടാണ്. അതിനെ മറികടക്കാനാണ് നാം പാസ്വേഡ് മാനേജർ സംവിധാനം ഉപയോഗിക്കാറുള്ളത്. എന്നാൽ ആൻഡ്രോയിഡ് പാസ്വേഡ് മാനേജർമാരിൽ നിന്ന് ഉപയോക്തൃനാമങ്ങളും പാസ്വേഡുകളും മോഷ്ടിക്കാൻ കഴിയുമെന്നു തെളിയിക്കുകയാണ് ഐഐടി ഹൈദരാബാദിലെ ഗവേഷകർ.
ബ്ലാക്ക് ഹാറ്റ് യൂറോപ്പ് 2023 എവന്ന കോൺഫറൻസിൽ നടന്ന അവതരണത്തിൽ, ഇന്റർനാഷണൽ ഇൻസ്റ്റിറ്റ്യൂട്ട് ഓഫ് ഇൻഫർമേഷൻ ടെക്നോളജി (ഐഐഐടി) ഹൈദരാബാദിലെ ഗവേഷകർ, ഓട്ടോസ്പിൽ എന്ന പേരിൽ ഒരു പുതിയ ഹാക്കിങ് അവതരിപ്പിച്ചത്. ലോഗിൻ പേജ് ലോഡ് ചെയ്യുമ്പോൾ ഉപയോക്താവിന്റെ അക്കൗണ്ട് ക്രെഡൻഷ്യലുകൾ സ്വയമേവ ടൈപ്പുചെയ്യാൻ Android-ലെ ഈ പാസ്വേഡ് മാനേജർമാർ പ്ലാറ്റ്ഫോമിന്റെ വെബ്വ്യൂ ഫ്രെയിംവർക്കാണ് ഉപയോഗിക്കുന്നത് .
ഉദാഹരണമായി ഒരു മ്യൂസിക് ആപ് ലോഗിൻ ചെയ്യുമ്പോൾ ഗൂഗിൾ അല്ലെങ്കിൽ ഫെയ്സ്ബുക് വഴി ലോഗിൻ കൊടുക്കുകയാണെങ്കിൽ ആ ആപ്പിനുള്ളിലെ വെബ്വ്യൂ സംവിധാനം തുറന്നുവരും. ഓട്ടോഫിൽ അഭ്യർഥന പോകുമ്പോൾ ആപ്പിലേക്കു ക്രെഡൻഷ്യൽ വെളിപ്പെടുത്തുമെന്നും കണ്ടെത്തി. ഫിഷിങ് ഇല്ലാതെ പോലും, ഗൂഗിൾ അല്ലെങ്കിൽ ഫെയ്സ്ബുക് പോലുള്ള മറ്റൊരു സൈറ്റ് വഴി ലോഗിൻ ചെയ്യാൻ നി ആവശ്യപ്പെടുന്ന ഏതൊരു ക്ഷുദ്ര ആപ്പിനും തന്ത്രപ്രധാനമായ വിവരങ്ങളിലേക്ക് സ്വയമേവ ആക്സസ് ലഭിക്കും. ആൻഡ്രോയിഡ് 10,11,12 എന്നിവയിൽ പ്രവർത്തിക്കുന്ന ഫോണുകളിലും ടാബ്ലെറ്റുകളിലും ഗവേഷകർ പരിശോധന നടത്തി.
1Password, Keeper, Enpass, Keepass2Android,LastPass പോലെയുള്ളവ JavaScript ഇൻജക്ഷൻ ഇല്ലാതെ ഓട്ടോസ്പില് ഹാക്കിങിനു വിധേയമാണെന്നു കമ്പനികൾ പറയുന്നു. ഗൂഗിൾ സ്മാർട്ട് ലോക്കും ഡാഷ്ലെയ്നും പോലെയുള്ള ചില പാസ്വേഡ് മാനേജർ സംവിധാനങ്ങളിൽ ഓട്ടോസ്പിൽ സംവിധാനം പ്രവർത്തിച്ചുമില്ല. കണ്ടെത്തലുകൾ ആൻഡ്രോയിഡ് സെക്യൂരിറ്റി ടീമുമായും പാസ്വേഡ് മാനേജർ ഡെവലപ്പർമാരുമായും ഗവേഷകര് പങ്കിട്ടിട്ടുണ്ട്. അടുത്ത അപ്ഡേറ്റിൽ ഈ പ്രശ്നങ്ങൾ പരിഹരിക്കപ്പെട്ടേക്കാം.
