Badacze bezpieczeństwa Instytutu Fraunhofera odkryli poważne problemy bezpieczeństwa w dziewięciu menedżerach haseł dla Androida, które przeanalizowali w ramach swoich badań.
Menedżery haseł są popularną opcją, jeśli chodzi o przechowywanie informacji uwierzytelniających. Wszystkie obiecują bezpieczne przechowywanie lokalnie lub zdalnie, a niektóre mogą dodawać inne funkcje do mieszanki, takie jak generowanie hasła, automatyczne logowanie lub zapisywanie ważnych danych, takich jak numery kart kredytowych lub szpilki.
Ostatnie badanie Instytutu Fraunhofera dotyczyło dziewięciu menedżerów haseł dla systemu operacyjnego Android firmy Google z punktu widzenia bezpieczeństwa. Badacze przeanalizowali następujących menedżerów haseł: LastPass, 1Password, My Passwords, Dashlane Password Manager, Menedżer haseł Informaticore, F-Secure KEY, Keepsafe, Keeper i Avast Passwords.
Niektóre aplikacje mają ponad 50 milionów instalacji, a wszystkie co najmniej 100 000 instalacji.
Menedżerowie haseł w analizie bezpieczeństwa Androida
Wniosek zespołu powinien wzbudzić obawy każdego, kto zaimplementuje menedżera haseł w Androidzie. Chociaż nie jest jasne, czy inne aplikacje do zarządzania hasłami na Androida również mają luki, istnieje przynajmniej szansa, że tak właśnie jest.
Ogólne wyniki były bardzo niepokojące i ujawniły, że aplikacje do zarządzania hasłami, pomimo ich twierdzeń, nie zapewniają wystarczających mechanizmów ochrony dla przechowywanych haseł i poświadczeń. Zamiast tego nadużywają zaufania użytkowników i narażają ich na wysokie ryzyko.
W każdej z analizowanych przez badaczy aplikacji zidentyfikowano co najmniej jedną lukę w zabezpieczeniach. Tak było w przypadku niektórych aplikacji przechowujących klucz główny w postaci zwykłego tekstu, a inne używają na stałe kluczy kryptograficznych w kodzie. W innym przypadku instalacja prostej aplikacji pomocniczej wyodrębniła hasła przechowywane przez aplikację haseł.
W LastPass zidentyfikowano trzy luki w zabezpieczeniach. Najpierw zakodowany klucz główny, następnie wycieki danych podczas wyszukiwania w przeglądarce, a na końcu luka wpływająca na LastPass w systemie Android 4.0.xi nowszych, która pozwala atakującym ukraść zapisane hasło główne.
- SIK-2016-022: Klucz główny na stałe w LastPass Password Manager
- SIK-2016-023: Prywatność, wyciek danych w wyszukiwarce LastPass
- SIK-2016-024: Odczytywanie prywatnej daty (przechowywane hasło główne) z LastPass Password Manager
W Dashlane, innej popularnej aplikacji do zarządzania hasłami, zidentyfikowano cztery luki w zabezpieczeniach. Luki te umożliwiły atakującym odczytanie prywatnych danych z folderu aplikacji, wyciek informacji o nadużyciach i przeprowadzenie ataku w celu wyodrębnienia hasła głównego.
- SIK-2016-028: Odczytywanie prywatnych danych z folderu aplikacji w Dashlane Password Manager
- SIK-2016-029: Wyciek informacji wyszukiwania Google w przeglądarce Dashlane Password Manager
- SIK-2016-030: Residue Attack Wyodrębnianie hasła głównego z Dashlane Password Manager
- SIK-2016-031: Wyciek hasła do subdomeny w wewnętrznej przeglądarce Dashlane Password Manager
Popularna aplikacja 1Password cztery Android miała pięć luk w zabezpieczeniach, w tym problemy z prywatnością i wyciekiem hasła.
- SIK-2016-038: Wyciek hasła do subdomeny w wewnętrznej przeglądarce 1Password
- SIK-2016-039: Https obniża domyślnie do http URL w wewnętrznej przeglądarce 1Password
- SIK-2016-040: Tytuły i adresy URL niezaszyfrowane w bazie danych 1Password
- SIK-2016-041: Odczytywanie prywatnych danych z folderu aplikacji w Menedżerze 1Password
- SIK-2016-042: Kwestia prywatności, informacje wyciekły do dostawcy 1Password Manager
Możesz sprawdzić pełną listę analizowanych aplikacji i słabych punktów na stronie Fraunhofer Institute.
Uwaga : Wszystkie ujawnione luki zostały naprawione przez firmy, które opracowują aplikacje. Niektóre poprawki są wciąż w fazie rozwoju. Zaleca się jak najszybszą aktualizację aplikacji, jeśli zostaną uruchomione na urządzeniach mobilnych.
Wniosek zespołu badawczego jest dość druzgocący:
Chociaż pokazuje to, że nawet najbardziej podstawowe funkcje menedżera haseł są często podatne na atak, aplikacje te zapewniają również dodatkowe funkcje, które mogą ponownie wpłynąć na bezpieczeństwo. Odkryliśmy, że na przykład funkcje automatycznego wypełniania aplikacji mogą zostać wykorzystane do kradzieży przechowywanych tajemnic z aplikacji menedżera haseł przy użyciu ataków typu „ukryty phishing”. W celu lepszego wsparcia automatycznego wypełniania formularzy haseł na stronach internetowych niektóre aplikacje udostępniają własne przeglądarki internetowe. Przeglądarki te są dodatkowym źródłem luk w zabezpieczeniach, takich jak wyciek prywatności.
Teraz : Czy korzystasz z aplikacji do zarządzania hasłami? (przez The Hacker News)
