Проблемы безопасности обнаружены в девяти менеджерах паролей для Android (LastPass, Dashlane ..)

• Категория: Безопасность

Попробуйте наш инструмент устранения неполадок

Выберите операционную систему Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Выберите язык програмирования (опционально) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишите свою проблему

Получить ответ

Отправить мне на email Показать на сайте

Исследователи безопасности из Института Фраунгофера обнаружили серьезные проблемы с безопасностью в девяти менеджерах паролей для Android, которые они проанализировали в рамках своего исследования.

Менеджеры паролей - популярный вариант, когда дело доходит до хранения информации для аутентификации. Все они обещают безопасное хранение либо локально, либо удаленно, а некоторые могут добавлять другие функции, такие как генерация пароля, автоматический вход в систему или сохранение важных данных, таких как номера кредитных карт или пины.

Недавнее исследование Института Фраунгофера рассмотрело девять менеджеров паролей для операционной системы Google Android с точки зрения безопасности. Исследователи проанализировали следующие менеджеры паролей: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore Password Manager, F-Secure KEY, Keepsafe, Keeper и Avast Passwords.

У некоторых приложений более 50 миллионов установок, и у всех не менее 100 000 установок.

Менеджеры паролей для анализа безопасности Android

Вывод команды должен вызвать беспокойство у тех, кто внедряет менеджер паролей на Android. Хотя неясно, есть ли уязвимости и в других приложениях менеджера паролей для Android, есть, по крайней мере, шанс, что это действительно так.

Общие результаты были крайне тревожными и показали, что приложения диспетчера паролей, несмотря на их заявления, не обеспечивают достаточных механизмов защиты для сохраненных паролей и учетных данных. Вместо этого они злоупотребляют доверием пользователей и подвергают их высокому риску.

По крайней мере, одна уязвимость безопасности была обнаружена в каждом из проанализированных исследователями приложений. Это зашло так далеко, что одни приложения хранят главный ключ в виде простого текста, а другие используют жестко закодированные криптографические ключи в коде. В другом случае установка простого вспомогательного приложения извлекла пароли, хранящиеся в приложении паролей.

Только в LastPass было обнаружено три уязвимости. Сначала жестко запрограммированный мастер-ключ, затем утечка данных при поиске в браузере и, наконец, уязвимость, затрагивающая LastPass на Android 4.0.x и ниже, которая позволяет злоумышленникам украсть сохраненный мастер-пароль.

• SIK-2016-022: Жестко запрограммированный мастер-ключ в диспетчере паролей LastPass
• SIK-2016-023: Конфиденциальность, утечка данных при поиске в браузере LastPass
• SIK-2016-024: Чтение частной даты (сохраненного мастер-пароля) из диспетчера паролей LastPass

В еще одном популярном приложении для управления паролями Dashlane были обнаружены четыре уязвимости. Эти уязвимости позволяли злоумышленникам считывать личные данные из папки приложения, злоупотреблять утечками информации и запускать атаку для извлечения мастер-пароля.

• SIK-2016-028: чтение личных данных из папки приложения в диспетчере паролей Dashlane
• SIK-2016-029: Утечка информации Google Search в браузере Dashlane Password Manager
• SIK-2016-030: Атака остатков извлечения мастер-пароля из диспетчера паролей Dashlane
• SIK-2016-031: Утечка пароля субдомена во внутреннем браузере диспетчера паролей Dashlane

Популярное приложение 1Password для Android 4 имеет пять уязвимостей, включая проблемы с конфиденциальностью и утечку пароля.

• SIK-2016-038: Утечка пароля субдомена во внутреннем браузере 1Password
• SIK-2016-039: Переход с Https на http URL по умолчанию во внутреннем браузере 1Password
• SIK-2016-040: Заголовки и URL-адреса не зашифрованы в базе данных 1Password
• SIK-2016-041: Чтение личных данных из папки приложения в 1Password Manager
• SIK-2016-042: Проблема конфиденциальности, утечка информации в диспетчер паролей поставщика 1

Вы можете проверить полный список приложений проанализированы и уязвимости на сайте Института Фраунгофера.

Заметка : Все обнаруженные уязвимости исправлены компаниями-разработчиками приложений. Некоторые исправления все еще находятся в разработке. Рекомендуется как можно скорее обновить приложения, если вы запускаете их на своих мобильных устройствах.

Вывод исследовательской группы весьма сокрушительный:

Хотя это показывает, что даже самые основные функции диспетчера паролей часто уязвимы, эти приложения также предоставляют дополнительные функции, которые, опять же, могут повлиять на безопасность. Мы обнаружили, что, например, функции автозаполнения для приложений могут быть использованы для кражи сохраненных секретов из приложения менеджера паролей с помощью «скрытых фишинговых» атак. Для лучшей поддержки автоматического заполнения форм паролей на веб-страницах некоторые приложения предоставляют собственные веб-браузеры. Эти браузеры являются дополнительным источником уязвимостей, например утечкой конфиденциальности.

Теперь ваша очередь : Вы пользуетесь программой-менеджером паролей? (через Хакерские новости )