Дослідники з безпеки Інституту Фраунгофера виявили серйозні проблеми безпеки у дев'яти менеджерах паролів для Android, які вони проаналізували в рамках своїх досліджень.
Менеджери паролів - це популярний варіант, коли мова йде про зберігання інформації про автентифікацію. Усі обіцяють надійне зберігання як локально, так і віддалено, а деякі можуть додавати до поєднання інші функції, такі як генерація пароля, автоматичне вхід у систему або збереження важливих даних, таких як номери кредитних карток або шпильки.
Нещодавно проведене дослідження Інституту Фраунгофера розглядало дев'ять менеджерів паролів для операційної системи Google Android з точки зору безпеки. Дослідники проаналізували таких менеджерів паролів: LastPass, 1Password, Мої паролі, Менеджер паролів Dashlane, Менеджер паролів Informaticore, F-Secure KEY, Keepsafe, Keeper та Avast Passwords.
Деякі програми мають понад 50 мільйонів установок, а всі принаймні 100 000 інсталяцій.
Менеджери паролів для аналізу безпеки Android
Висновок команди повинен хвилювати всіх, хто реалізує менеджер паролів на Android. Хоча незрозуміло, чи в інших програмах менеджера паролів для Android також є вразливості, є принаймні шанс, що це дійсно так.
Загальні результати були надзвичайно тривожними та показали, що програми керування паролями, незважаючи на свої вимоги, не забезпечують достатнього механізму захисту збережених паролів та облікових даних. Натомість вони зловживають довірою користувачів і наражають їх на високий ризик.
Принаймні одна вразливість безпеки була виявлена у кожному з додатків, які досліджували дослідники. Це стосувалося деяких додатків, що зберігають головний ключ у простому тексті, а інші використовують жорстко закодовані криптографічні ключі в коді. В іншому випадку, встановлення простої програми-помічника витягнуло паролі, збережені паролем.
Три вразливості були виявлені лише в LastPass. Спочатку важко закодований головний ключ, потім витоки даних у пошуку браузера, і нарешті вразливість, що впливає на LastPass на Android 4.0.x і нижче, що дозволяє зловмисникам красти збережений основний пароль.
- SIK-2016-022: жорсткий код головного ключа в LastPass Password Manager
- SIK-2016-023: конфіденційність, витік даних у веб-пошуку браузера LastPass
- SIK-2016-024: прочитати приватну дату (зберігається головне слово) від LastPass Password Manager
Чотири вразливості були виявлені в Dashlane, іншому популярному додатку для керування паролями. Ці вразливості дозволили зловмисникам читати приватні дані з папки додатків, зловживати витоками інформації та запускати атаку, щоб витягти головний пароль.
- SIK-2016-028: читайте приватні дані з папки додатків у Dashlane Manager Manager
- SIK-2016-029: витік інформації пошуку Google у веб-переглядачі Dashlane Password Manager
- SIK-2016-030: Атака залишків Вилучення головного слова з Dashlane Manager Manager
- SIK-2016-031: витік пароля субдомену у внутрішньому браузері диспетчера паролів Dashlane
У популярному додатку 1Password чотири Android було п'ять вразливих місць, включаючи проблеми з приватністю та витік паролів.
- SIK-2016-038: Піддоменний витік пароля у внутрішньому браузері 1Password
- SIK-2016-039: перехід на http до URL-адреси за замовчуванням у внутрішньому браузері 1Password
- SIK-2016-040: заголовки та URL-адреси не зашифровані в базі даних 1Password
- SIK-2016-041: читайте приватні дані з папки додатків у 1Password Manager
- SIK-2016-042: питання конфіденційності, інформація потрапила до менеджера постачальників 1Password
Повний список проаналізованих програм та вразливості можна переглянути на веб-сайті Інституту Fraunhofer.
Примітка . Усі розкриті вразливості були виправлені компаніями, які розробляють додатки. Деякі виправлення ще в розробці. Рекомендується оновити програми якнайшвидше, якщо ви запускаєте їх на своїх мобільних пристроях.
Висновок дослідницької групи є досить руйнівним:
Хоча це показує, що навіть найбільш основні функції менеджера паролів часто вразливі, ці додатки також надають додаткові функції, які, знову ж таки, можуть вплинути на безпеку. Ми виявили, що, наприклад, функціями автоматичного заповнення програм можна зловживати для крадіжки збережених секретів із програми керування паролями, використовуючи атаки «прихованого фішингу». Для кращої підтримки автозаповнення форм паролів на веб-сторінках деякі додатки надають власні веб-браузери. Ці браузери є додатковим джерелом вразливих ситуацій, таких як витоки конфіденційності.
Тепер ви : Чи використовуєте програму менеджера паролів? (через Новини Хакерів)
