Проблеми със сигурността, открити в девет мениджъри на пароли за Android (LastPass, Dashlane ..)

Изследователите по сигурността на института Fraunhofer откриха тежки проблеми със сигурността в девет мениджъри на пароли за Android, които те анализираха като част от своите изследвания.

Мениджърите на пароли са популярна опция, когато става въпрос за съхраняване на информация за удостоверяване. Всички обещават сигурно съхранение или локално, или отдалечено, а някои могат да добавят други функции към микса като генериране на парола, автоматично влизане или запазване на важни данни, като номера на кредитни карти или пинове.

Неотдавнашно проучване на института Fraunhofer разгледа девет мениджъри на пароли за операционната система Android на Google от гледна точка на сигурността. Изследователите анализираха следните мениджъри на пароли: LastPass, 1Password, My Passwords, Dashlane Password Manager, Password Manager на Informaticore, F-Secure KEY, Keepsafe, Keeper и Avast Passwords.

Някои от приложенията имат повече от 50 милиона инсталации и всички най-малко 100 000 инсталации.

Мениджъри на пароли за анализ на сигурността на Android

Заключението на екипа трябва да притеснява всеки, който внедрява мениджър на пароли на Android. Въпреки че не е ясно дали други приложения за управление на пароли за Android също имат уязвимости, има поне шанс това наистина да е така.

Общите резултати бяха изключително тревожни и разкриха, че приложенията за управление на пароли, въпреки твърденията им, не предоставят достатъчно механизми за защита на съхранените пароли и идентификационни данни. Вместо това те злоупотребяват с доверието на потребителите и ги излагат на високи рискове.

Поне една уязвимост на сигурността беше идентифицирана във всяко от приложенията, които анализираха изследователите. Това стигна до някои приложения, съхраняващи главния ключ в обикновен текст, а други, използващи твърдо кодирани криптографски ключове в код. В друг случай инсталирането на обикновено помощно приложение извлича паролите, съхранявани от приложението за парола.

Три уязвимости бяха идентифицирани само в LastPass. Първо твърдо кодиран главен ключ, след това изтичане на данни при търсене в браузър и накрая уязвимост, засягаща LastPass на Android 4.0.x и по-ниска, което позволява на нападателите да откраднат съхранената главна парола.

  • SIK-2016-022: Твърд кодиран главен ключ в LastPass Password Manager
  • SIK-2016-023: Поверителност, изтичане на данни в Търсене на браузър LastPass
  • SIK-2016-024: Прочетете частна дата (Съхранен Masterpassword) от LastPass Password Manager

Четири уязвимости бяха идентифицирани в Dashlane, друго популярно приложение за управление на пароли. Тези уязвимости позволиха на атакуващите да четат лични данни от папката на приложението, да злоупотребяват с течове на информация и да извършат атака, за да извлекат основната парола.

  • SIK-2016-028: Прочетете лични данни от папката на приложението в Dashlane Manager Manager
  • SIK-2016-029: изтичане на информация за Google в браузъра Dashlane Password Manager
  • SIK-2016-030: Остатъчна атака, извличаща главна дума от Dashlane Password Manager
  • SIK-2016-031: Изтичане на поддомейн парола в браузъра за вътрешен Dashlane Password Manager

Популярното приложение 1Password четири Android имаше пет уязвимости, включително проблеми с частността и изтичане на парола.

  • SIK-2016-038: изтичане на парола в поддомейн във вътрешен браузър 1Password
  • SIK-2016-039: Https понижаване до http URL по подразбиране в 1Password Internal Browser
  • SIK-2016-040: Заглавия и URL адреси не са кодирани в база данни 1Password
  • SIK-2016-041: Прочетете лични данни от папката на приложението в 1Password Manager
  • SIK-2016-042: Проблем с поверителността, информация изтекла до доставчик 1Password Manager

Можете да разгледате пълния списък на анализираните приложения и уязвимостите на уебсайта на Fraunhofer Institute.

Забележка : Всички разкрити уязвимости са коригирани от компаниите, които разработват приложенията. Някои поправки все още са в процес на разработка. Препоръчва се да актуализирате приложенията възможно най-скоро, ако ги стартирате на мобилните си устройства.

Заключението на изследователския екип е доста пагубно:

Въпреки че това показва, че дори и най-основните функции на мениджъра на пароли често са уязвими, тези приложения предоставят и допълнителни функции, които отново могат да повлияят на сигурността. Ние открихме, че например функциите за автоматично попълване на приложения могат да бъдат злоупотребявани за кражба на съхранените тайни от приложението за управление на пароли, използвайки атаки на „скрит фишинг“. За по-добра поддръжка на формулярите за автоматично попълване на парола в уеб страниците, някои от приложенията предоставят свои собствени уеб браузъри. Тези браузъри са допълнителен източник на уязвимости, като например изтичане на поверителност.

Сега Вие : Използвате ли приложение за управление на пароли? (чрез The Hacker News)