Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

Password managers significantly improve password-based authentication, by generating strong and unique passwords while also streamlining the actual authentication process through autofill functionality. Crucially, autofill provides additional security protections when employed within a traditional browsing environment, as it can trivially thwart phishing attacks due to the website's domain information being readily available. With the increasing trend of major web services also deploying standalone native applications, passwords managers have also started offering universal autofill and other user-friendly capabilities for desktop application environments. However, it is currently unclear how password managers' security protections apply in these environments. To fill that gap, in this thesis I present the first systematic empirical analysis of the autofill-related functionalities made available by popular password managers (including 1Password, Keeper and LastPass) in two major desktop environments: MacOS and Windows. We find that password managers adopt different strategies for interacting with desktop apps, and employ widely different levels of safeguards against UI-based attacks. For instance, on MacOS we find that a high level of security can be achieved by leveraging OS-provided APIs and checks, while on Windows we identify a lack of proper security checks mainly due to OS limitations. In each scenario, I demonstrate proof-of-concept attacks that allow other applications to bypass the security checks in place and stealthily steal user's credentials and one-time-passwords. Accordingly, I propose a series of countermeasures that can mitigate our attacks. Due to the severity of our attacks, we disclosed our findings and proposed countermeasures to the analyzed password manager vendors.

I password manager migliorano significativamente l'autenticazione basata su password, generando credenziali forti e uniche e semplificando il processo di accesso attraverso la funzionalità di compilazione automatica. In particolare, questa funzione offre ulteriori protezioni di sicurezza quando utilizzata in un ambiente di navigazione tradizionale (ovvero i browser), poiché può contrastare facilmente gli attacchi di phishing grazie alla disponibilità immediata delle informazioni sul dominio del sito web. Con la crescente diffusione di applicazioni native standalone da parte dei principali servizi web, i password manager hanno iniziato ad estendere la compilazione automatica e altre funzionalità anche agli ambienti desktop. Tuttavia, attualmente non è chiaro come le loro protezioni di sicurezza si applichino in questi contesti. Per colmare questa lacuna, in questa tesi presento la prima analisi empirica sistematica delle funzionalità di compilazione automatica offerte dai più diffusi password manager (tra cui 1Password, Keeper e LastPass) nei due principali ambienti desktop: MacOS e Windows. Abbiamo riscontrato che i vari password manager adottano strategie diverse per interagire con le applicazioni desktop, e implementano livelli di protezione molto variabili contro gli attacchi basati sull'interfaccia utente. Ad esempio, su MacOS, un alto livello di sicurezza può essere raggiunto sfruttando le API e i controlli forniti dal sistema operativo. Al contrario, su Windows abbiamo riscontrato una mancanza di adeguati controlli di sicurezza, principalmente a causa di limitazioni intrinseche del sistema operativo. In ciascuno scenario, presento attacchi proof-of-concept che permettono ad altre applicazioni di aggirare i controlli di sicurezza esistenti e di sottrarre furtivamente le credenziali e le one-time password (OTP) degli utenti. Infine, propongo una serie di contromisure volte a mitigare questi attacchi. Data la gravità delle vulnerabilità riscontrate, abbiamo condiviso le nostre scoperte e proposto le contromisure ai fornitori dei password manager analizzati.

Stealthy credential-stealing attacks against password managers in desktop environments

INFANTINO, ANDREA
2023/2024

Abstract

Password managers significantly improve password-based authentication, by generating strong and unique passwords while also streamlining the actual authentication process through autofill functionality. Crucially, autofill provides additional security protections when employed within a traditional browsing environment, as it can trivially thwart phishing attacks due to the website's domain information being readily available. With the increasing trend of major web services also deploying standalone native applications, passwords managers have also started offering universal autofill and other user-friendly capabilities for desktop application environments. However, it is currently unclear how password managers' security protections apply in these environments. To fill that gap, in this thesis I present the first systematic empirical analysis of the autofill-related functionalities made available by popular password managers (including 1Password, Keeper and LastPass) in two major desktop environments: MacOS and Windows. We find that password managers adopt different strategies for interacting with desktop apps, and employ widely different levels of safeguards against UI-based attacks. For instance, on MacOS we find that a high level of security can be achieved by leveraging OS-provided APIs and checks, while on Windows we identify a lack of proper security checks mainly due to OS limitations. In each scenario, I demonstrate proof-of-concept attacks that allow other applications to bypass the security checks in place and stealthily steal user's credentials and one-time-passwords. Accordingly, I propose a series of countermeasures that can mitigate our attacks. Due to the severity of our attacks, we disclosed our findings and proposed countermeasures to the analyzed password manager vendors.
ZANERO, STEFANO
POLAKIS, JASON
ING - Scuola di Ingegneria Industriale e dell'Informazione
11-dic-2024
2023/2024
I password manager migliorano significativamente l'autenticazione basata su password, generando credenziali forti e uniche e semplificando il processo di accesso attraverso la funzionalità di compilazione automatica. In particolare, questa funzione offre ulteriori protezioni di sicurezza quando utilizzata in un ambiente di navigazione tradizionale (ovvero i browser), poiché può contrastare facilmente gli attacchi di phishing grazie alla disponibilità immediata delle informazioni sul dominio del sito web. Con la crescente diffusione di applicazioni native standalone da parte dei principali servizi web, i password manager hanno iniziato ad estendere la compilazione automatica e altre funzionalità anche agli ambienti desktop. Tuttavia, attualmente non è chiaro come le loro protezioni di sicurezza si applichino in questi contesti. Per colmare questa lacuna, in questa tesi presento la prima analisi empirica sistematica delle funzionalità di compilazione automatica offerte dai più diffusi password manager (tra cui 1Password, Keeper e LastPass) nei due principali ambienti desktop: MacOS e Windows. Abbiamo riscontrato che i vari password manager adottano strategie diverse per interagire con le applicazioni desktop, e implementano livelli di protezione molto variabili contro gli attacchi basati sull'interfaccia utente. Ad esempio, su MacOS, un alto livello di sicurezza può essere raggiunto sfruttando le API e i controlli forniti dal sistema operativo. Al contrario, su Windows abbiamo riscontrato una mancanza di adeguati controlli di sicurezza, principalmente a causa di limitazioni intrinseche del sistema operativo. In ciascuno scenario, presento attacchi proof-of-concept che permettono ad altre applicazioni di aggirare i controlli di sicurezza esistenti e di sottrarre furtivamente le credenziali e le one-time password (OTP) degli utenti. Infine, propongo una serie di contromisure volte a mitigare questi attacchi. Data la gravità delle vulnerabilità riscontrate, abbiamo condiviso le nostre scoperte e proposto le contromisure ai fornitori dei password manager analizzati.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2024_12_Infantino_Executive_Summary_02.pdf

accessibile in internet per tutti a partire dal 12/11/2027

Descrizione: Executive Summary
Dimensione 352.94 kB
Formato Adobe PDF
  Visualizza/Apri
352.94 kB Adobe PDF   Visualizza/Apri
2024_12_Infantino_Thesis_01.pdf

accessibile in internet per tutti a partire dal 13/11/2027

Descrizione: Text of the Thesis
Dimensione 2.42 MB
Formato Adobe PDF
  Visualizza/Apri
2.42 MB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/230069