Cercetătorii de securitate ai Institutului Fraunhofer au descoperit probleme grave de securitate la nouă manageri de parole pentru Android pe care le-au analizat ca parte a cercetării lor.
Administratorii de parole sunt o opțiune populară când vine vorba de stocarea informațiilor de autentificare. Toate promit o stocare securizată local sau de la distanță, iar unele pot adăuga alte funcții la mix, cum ar fi generarea parolelor, conectarea automată sau salvarea de date importante, cum ar fi numerele cardului de credit sau Pinii.
Un studiu recent realizat de Institutul Fraunhofer a analizat nouă manageri de parole pentru sistemul de operare Android Google din punct de vedere al securității. Cercetătorii au analizat următorii manageri de parole: LastPass, 1Password, Parolele mele, Managerul de parolă Dashlane, Managerul de parole al Informaticore, F-Secure KEY, Keepsafe, Keeper și Avast Password.
Unele dintre aplicații au peste 50 de milioane de instalații și toate cel puțin 100.000 de instalații.
Administratori de parole pe analiza securității Android
Concluzia echipei ar trebui să aibă oricine îngrijorat care implementează un manager de parole pe Android. Deși nu este clar dacă și alte aplicații de manager de parole pentru Android au vulnerabilități, există cel puțin o șansă ca acesta să fie într-adevăr cazul.
Rezultatele generale au fost extrem de îngrijorătoare și au relevat faptul că aplicațiile managerului de parole, în ciuda pretențiilor lor, nu oferă suficiente mecanisme de protecție pentru parolele și datele de acreditare stocate. În schimb, ei abuzează de încrederea utilizatorilor și îi expun unor riscuri ridicate.
Cel puțin o vulnerabilitate de securitate a fost identificată în fiecare dintre aplicațiile analizate de cercetători. Acest lucru a mers până la unele aplicații care stochează cheia principală în text simplu, iar altele folosind chei criptografice cu coduri dure. În alt caz, instalarea unei aplicații helper simple a extras parolele stocate de aplicația parolă.
Trei vulnerabilități au fost identificate doar în LastPass. Mai întâi o cheie principală cu coduri dure, apoi scurgeri de date în căutarea browserului și, în sfârșit, o vulnerabilitate care afectează LastPass pe Android 4.0.x și o versiune inferioară, ceea ce permite atacatorilor să fure parola principală stocată.
- SIK-2016-022: Cheie principală hardcodată în Managerul de parolă LastPass
- SIK-2016-023: Confidențialitate, Scurgeri de date în căutarea browserului LastPass
- SIK-2016-024: Citiți Data privată (Masterpassword stocat) de la LastPass Password Manager
Patru vulnerabilități au fost identificate în Dashlane, o altă aplicație populară de administrare a parolelor. Aceste vulnerabilități au permis atacatorilor să citească date private din folderul aplicației, să abordeze scurgerile de informații și să execute un atac pentru a extrage parola principală.
- SIK-2016-028: Citiți date private din folderul de aplicații din Dashlane Password Manager
- SIK-2016-029: Scurgeri de informații de căutare Google în browserul Dashlane Password Manager
- SIK-2016-030: atac de reziduuri extragerea Masterpassword-ului din Dashlane Password Manager
- SIK-2016-031: Scurgeri de parolă din subdomeniu în browserul intern al Managerului Parolelor Dashlane
Populară aplicație 1Password patru Android cu cinci vulnerabilități, inclusiv probleme de confidențialitate și scurgeri de parole.
- SIK-2016-038: Scurgeri de parolă din subdomeniu în browserul intern 1Password
- SIK-2016-039: Https trec la URL-ul http în mod implicit în browserul intern 1Password
- SIK-2016-040: Titluri și adrese URL necriptate în baza de date 1Password
- SIK-2016-041: Citiți date private din folderul de aplicații în 1Password Manager
- SIK-2016-042: Problemă de confidențialitate, informații pierdute furnizorului 1Password Manager
Puteți consulta lista completă de aplicații analizate și vulnerabilitățile de pe site-ul Fraunhofer Institute.
Notă : Toate vulnerabilitățile dezvăluite au fost soluționate de companiile care dezvoltă aplicațiile. Unele remedieri sunt încă în curs de dezvoltare. Este recomandat să actualizați aplicațiile cât mai curând posibil dacă le rulați pe dispozitivele dvs. mobile.
Concluzia echipei de cercetare este destul de devastatoare:
Deși acest lucru arată că chiar și cele mai de bază funcții ale unui manager de parole sunt adesea vulnerabile, aceste aplicații oferă și funcții suplimentare, care pot afecta din nou securitatea. Am descoperit că, de exemplu, funcțiile de umplere automată pentru aplicații ar putea fi abuzate pentru a fura secretele stocate din aplicația managerului de parole folosind atacuri „phishing ascunse”. Pentru o mai bună asistență a formularelor de parole de umplere automată din paginile web, unele dintre aplicații oferă propriile browsere web. Aceste browsere sunt o sursă suplimentară de vulnerabilități, cum ar fi scurgerile de confidențialitate.
Acum Tu : Folosești o aplicație de manager de parole? (via The Hacker News)
