Проблемы безопасности обнаружены в девяти менеджерах паролей для Android (LastPass, Dashlane ..)

Исследователи из Института Фраунгофера обнаружили серьезные проблемы с безопасностью в девяти диспетчерах паролей для Android, которые они проанализировали в рамках своих исследований.

Менеджеры паролей являются популярной опцией, когда дело доходит до хранения аутентификационной информации. Все обещают безопасное хранение как локально, так и удаленно, а некоторые могут добавить другие функции, такие как генерация пароля, автоматический вход или сохранение важных данных, таких как номера кредитных карт или пин-коды.

Недавнее исследование, проведенное Институтом Фраунгофера, рассматривало девять менеджеров паролей для операционной системы Google Android с точки зрения безопасности. Исследователи проанализировали следующие менеджеры паролей: LastPass, 1Password, Мои пароли, Dashlane Password Manager, Менеджер паролей Informaticore, F-Secure KEY, Keepsafe, Keeper и Avast Passwords.

Некоторые из приложений имеют более 50 миллионов установок, и все по крайней мере 100 000 установок.

Менеджеры паролей в анализе безопасности Android

Вывод команды должен волновать любого, кто реализует менеджер паролей на Android. Хотя неясно, имеют ли уязвимости и другие приложения для управления паролями для Android, существует, по крайней мере, шанс, что это действительно так.

Общие результаты были крайне тревожными и показали, что приложения диспетчера паролей, несмотря на свои претензии, не обеспечивают достаточных механизмов защиты для сохраненных паролей и учетных данных. Вместо этого они злоупотребляют доверием пользователей и подвергают их высоким рискам.

По крайней мере, одна уязвимость была обнаружена в каждом из приложений, которые исследовали исследователи. Это дошло до того, что некоторые приложения хранили главный ключ в виде обычного текста, а другие использовали жестко закодированные криптографические ключи в коде. В другом случае при установке простого вспомогательного приложения извлекаются пароли, хранящиеся в приложении паролей.

Только в LastPass были обнаружены три уязвимости. Сначала жестко запрограммированный мастер-ключ, затем утечки данных при поиске в браузере и, наконец, уязвимость, затрагивающая LastPass на Android 4.0.x и ниже, которая позволяет злоумышленникам украсть сохраненный мастер-пароль.

  • SIK-2016-022: закодированный мастер-ключ в менеджере паролей LastPass
  • SIK-2016-023: конфиденциальность, утечка данных в поиске в браузере LastPass
  • SIK-2016-024: чтение приватной даты (сохраненного мастер-пароля) из менеджера паролей LastPass

В Dashlane, другом популярном приложении для управления паролями, были обнаружены четыре уязвимости. Эти уязвимости позволяли злоумышленникам читать личные данные из папки приложения, злоупотреблять утечкой информации и запускать атаку для извлечения мастер-пароля.

  • SIK-2016-028: чтение личных данных из папки приложения в Dashlane Password Manager
  • SIK-2016-029: утечка информации о поиске Google в браузере диспетчера паролей Dashlane
  • SIK-2016-030: атака с использованием остаточных ресурсов извлекает мастер-пароль из Dashlane Password Manager
  • SIK-2016-031: Утечка пароля субдомена во внутреннем браузере диспетчера паролей Dashlane

В популярном приложении 1Password 4 для Android было пять уязвимостей, включая проблемы приватности и утечки пароля.

  • SIK-2016-038: Утечка пароля субдомена во внутреннем браузере 1Password
  • SIK-2016-039: Https понижает до http URL по умолчанию в 1Password Internal Browser
  • SIK-2016-040: заголовки и URL-адреса, не зашифрованные в базе данных 1Password
  • SIK-2016-041: чтение личных данных из папки приложения в 1Password Manager
  • SIK-2016-042: проблема конфиденциальности, утечка информации поставщику 1Password Manager

Вы можете ознакомиться с полным списком проанализированных приложений и уязвимостей на веб-сайте Института Фраунгофера.

Примечание . Все выявленные уязвимости были устранены компаниями, разрабатывающими приложения. Некоторые исправления все еще находятся в разработке. Рекомендуется обновлять приложения как можно скорее, если вы запускаете их на своих мобильных устройствах.

Вывод исследовательской группы довольно разрушительный:

Хотя это показывает, что даже самые основные функции менеджера паролей часто уязвимы, эти приложения также предоставляют дополнительные функции, которые могут, опять же, повлиять на безопасность. Мы обнаружили, что, например, функции автозаполнения для приложений могут использоваться для кражи хранимых секретов из приложения диспетчера паролей с помощью атак «скрытого фишинга». Для лучшей поддержки автоматического заполнения форм паролей на веб-страницах некоторые приложения предоставляют свои собственные веб-браузеры. Эти браузеры являются дополнительным источником уязвимостей, таких как утечка конфиденциальности.

Теперь Вы : Вы используете приложение менеджера паролей? (через Новости Хакера)