論文の概要: Exploiting Leakage in Password Managers via Injection Attacks

• arxiv url: http://arxiv.org/abs/2408.07054v1
• Date: Tue, 13 Aug 2024 17:45:12 GMT
• ステータス: 処理完了
• システム内更新日: 2024-08-14 16:45:31.948999
• Title: Exploiting Leakage in Password Managers via Injection Attacks
• Title（参考訳）: インジェクションアタックによるパスワードマネージャの漏洩爆発
• Authors: Andrés Fábrega, Armin Namavari, Rachit Agarwal, Ben Nassi, Thomas Ristenpart,
• Abstract要約: 本研究では,パスワードマネージャに対するインジェクション攻撃について検討する。 この設定では、敵は自身のアプリケーションクライアントを制御し、例えば認証情報を共有することで、選択したペイロードを被害者のクライアントに"注入"するために使用する。
• 参考スコア（独自算出の注目度）: 16.120271337898235
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: This work explores injection attacks against password managers. In this setting, the adversary (only) controls their own application client, which they use to "inject" chosen payloads to a victim's client via, for example, sharing credentials with them. The injections are interleaved with adversarial observations of some form of protected state (such as encrypted vault exports or the network traffic received by the application servers), from which the adversary backs out confidential information. We uncover a series of general design patterns in popular password managers that lead to vulnerabilities allowing an adversary to efficiently recover passwords, URLs, usernames, and attachments. We develop general attack templates to exploit these design patterns and experimentally showcase their practical efficacy via analysis of ten distinct password manager applications. We disclosed our findings to these vendors, many of which deployed mitigations.
• Abstract（参考訳）: 本研究では,パスワードマネージャに対するインジェクション攻撃について検討する。 この設定では、敵(のみ)が自身のアプリケーションクライアントを制御し、例えば資格情報を共有するなどして、選択したペイロードを被害者のクライアントに"注入"するために使用する。 インジェクションは、何らかの形で保護された状態(暗号化されたVaultエクスポートやアプリケーションサーバが受信したネットワークトラフィックなど)の敵の観測とインターリーブされ、敵が機密情報をバックアウトする。 人気のあるパスワードマネージャには、パスワード、URL、ユーザー名、アタッチメントを効率よくリカバリできる脆弱性につながる一連の一般的なデザインパターンが見つかりました。 我々は,これらの設計パターンを活用する汎用攻撃テンプレートを開発し,その実用性を10種類のパスワード管理アプリケーションを用いて実験的に示す。 当社の調査結果をこれらのベンダに公開しました。

関連論文リスト

• Injection Attacks Against End-to-End Encrypted Applications [15.213316952755353]
  エンド・ツー・エンド(E2E)暗号化アプリケーションに対する新たな脅威モデルについて検討する。 相手は選択したメッセージをターゲットクライアントに送信し、それによって相手のコンテンツをアプリケーション状態に"注入"する。 クラウドに格納された暗号文の長さを観察することで、攻撃者は機密情報をバックアップする。
  論文  参考訳（メタデータ） (2024-11-14T06:53:00Z)
• Nudging Users to Change Breached Passwords Using the Protection Motivation Theory [58.87688846800743]
  我々は保護動機理論(PMT)に基づいて、侵入したパスワードの変更を促すナッジを設計する。 本研究は, PMTのセキュリティ研究への応用に寄与し, 漏洩したクレデンシャル通知を改善するための具体的な設計上の意味を提供する。
  論文  参考訳（メタデータ） (2024-05-24T07:51:15Z)
• EmInspector: Combating Backdoor Attacks in Federated Self-Supervised Learning Through Embedding Inspection [53.25863925815954]
  フェデレートされた自己教師付き学習(FSSL)は、クライアントの膨大な量の未ラベルデータの利用を可能にする、有望なパラダイムとして登場した。 FSSLはアドバンテージを提供するが、バックドア攻撃に対する感受性は調査されていない。 ローカルモデルの埋め込み空間を検査し,悪意のあるクライアントを検知する埋め込み検査器(EmInspector)を提案する。
  論文  参考訳（メタデータ） (2024-05-21T06:14:49Z)
• Passwords Are Meant to Be Secret: A Practical Secure Password Entry Channel for Web Browsers [7.049738935364298]
  悪質なクライアントサイドスクリプトとブラウザ拡張機能は、マネージャによってWebページにオートフィルされた後、パスワードを盗むことができる。 本稿では,パスワードマネージャがユーザ動作の変更を必要とせず,自動記入証明書の盗難を防止する上でどのような役割を果たせるかを検討する。
  論文  参考訳（メタデータ） (2024-02-09T03:21:14Z)
• Rethinking Backdoor Attacks [122.1008188058615]
  バックドア攻撃では、悪意ある構築されたバックドアの例をトレーニングセットに挿入し、結果のモデルを操作に脆弱にする。 このような攻撃に対する防御は、典型的には、これらの挿入された例をトレーニングセットの外れ値として見ることと、堅牢な統計からのテクニックを使用してそれらを検出し、削除することである。 トレーニングデータ分布に関する構造情報がなければ,バックドア攻撃は自然に発生するデータの特徴と区別できないことを示す。
  論文  参考訳（メタデータ） (2023-07-19T17:44:54Z)
• Tales from the Git: Automating the detection of secrets on code and assessing developers' passwords choices [8.086010366384247]
  これは、異なるプログラミング言語とコンテキストにわたるパスワード選択における開発者の特性を調査する最初の研究である。 デベロッパーは、公開リポジトリのコードを不注意にリークしたかもしれないが、われわれの調査結果は、より安全なパスワードを使う傾向があることを示している。
  論文  参考訳（メタデータ） (2023-07-03T09:44:10Z)
• Conditional Generative Adversarial Network for keystroke presentation attack [0.0]
  本稿では,キーストローク認証システムへのプレゼンテーションアタックの展開を目的とした新しいアプローチを提案する。 我々の考えは、認証されたユーザを偽装するために使用できる合成キーストロークデータを生成するために、条件付き生成適応ネットワーク(cGAN)を使用することである。 その結果、cGANは、キーストローク認証システムを無効にするために使用できるキーストロークダイナミックスパターンを効果的に生成できることが示唆された。
  論文  参考訳（メタデータ） (2022-12-16T12:45:16Z)
• Untargeted Backdoor Attack against Object Detection [69.63097724439886]
  我々は,タスク特性に基づいて,無目標で毒のみのバックドア攻撃を設計する。 攻撃によって、バックドアがターゲットモデルに埋め込まれると、トリガーパターンでスタンプされたオブジェクトの検出を失う可能性があることを示す。
  論文  参考訳（メタデータ） (2022-11-02T17:05:45Z)
• On Deep Learning in Password Guessing, a Survey [4.1499725848998965]
  本稿では,ユーザのパスワード構造や組み合わせに関するドメイン知識や仮定を必要としない,深層学習に基づくパスワード推測手法について比較する。 非標的のオフライン攻撃によるパスワード推測におけるIWGANのバリエーションの利用に関する有望な実験的設計を提案する。
  論文  参考訳（メタデータ） (2022-08-22T15:48:35Z)
• Backdoor Attack against Speaker Verification [86.43395230456339]
  学習データを汚染することにより,話者検証モデルに隠れたバックドアを注入できることを示す。 また,既存のバックドア攻撃が話者認証攻撃に直接適用できないことも実証した。
  論文  参考訳（メタデータ） (2020-10-22T11:10:08Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。