Питања сигурности пронађена у девет менаџера лозинки за Андроид (ЛастПасс, Дасхлане ..)

Испробајте Наш Инструмент За Елиминисање Проблема

Истраживачи безбедности Института Фраунхофер пронашли су озбиљне сигурносне проблеме у девет менаџера лозинки за Андроид које су анализирали у оквиру свог истраживања.

Менаџери лозинки су популарна опција када се ради о чувању података за аутентификацију. Сви обећавају сигурну похрану локално или на даљину, а неке могу додати и друге карактеристике у комбинацију, као што су генерирање лозинке, аутоматско пријављивање или спремање важних података, као што су бројеви кредитне картице или игле.

Недавно истраживање Института Фраунхофер разматрало је девет менаџера лозинки за Гоогле-ов Андроид оперативни систем са становишта безбедности. Истраживачи су анализирали следеће менаџере лозинки: ЛастПасс, 1Пассворд, Ми Пассвордс, Дасхлане Пассворд Манагер, Информатицоре-ов менаџер лозинки, Ф-Сецуре КЕИ, Кеепсафе, Кеепер и Аваст Пассвордс.

Неке од апликација имају више од 50 милиона инсталација, а све најмање 100.000 инсталација.

Менаџери лозинки у безбедносној анализи Андроид-а

android password managers

Закључак тима требало би да брине свако ко имплементира управитељ лозинки на Андроиду. Иако није јасно да ли и друге апликације за управљање лозинкама за Андроид имају рањивости, постоји бар шанса да је то заиста тако.

Укупни резултати били су крајње забрињавајући и открили су да апликације за управљање лозинкама, упркос њиховим тврдњама, не пружају довољно механизама заштите за сачуване лозинке и поверљиве податке. Уместо тога, они злоупотребљавају поверење корисника и излажу их високом ризику.

У свакој апликацији коју су истраживачи анализирали идентификована је најмање једна рањивост у безбедности. То је ишло до неких апликација које су чувале главни кључ у обичном тексту, а друге су користиле тврдо кодиране криптографске кључеве у коду. У другом случају, инсталација једноставне хелпер апликације извукла је лозинке похрањене у апликацији за лозинку.

Три рањивости идентификоване су само у ЛастПасс-у. Прво тврдо кодирани главни кључ, затим цурење података у претраживању претраживача, а на крају и рањивост која утиче на ЛастПасс на Андроид 4.0.к и нижем, што омогућава нападачима да украду сачувану главну лозинку.

  • СИК-2016-022: Тврди кодирани главни кључ у програму ЛастПасс Пассворд Манагер
  • СИК-2016-023: Приватност, цурење података у претраживању ЛастПасс
  • СИК-2016-024: Прочитајте приватни датум (похрањени мастерпассворд) са ЛастПасс Пассворд Манагер-а

Четири рањивости идентификоване су у Дасхланеу, још једној популарној апликацији за управљање лозинкама. Ове рањивости омогућиле су нападачима да читају приватне податке из директоријума апликација, злоупотребе цурења података и изврше напад како би извукли главну лозинку.

  • СИК-2016-028: Прочитајте приватне податке из мапе апликације у Дасхлане Менаџеру лозинки
  • СИК-2016-029: цурење Гоогле података о претраживању у прегледачу Дасхлане Пассворд Манагер
  • СИК-2016-030: Атид Ресидуе Аттацк извлачи главну реч из Дасхлане Менаџера лозинки
  • СИК-2016-031: цурење поддомена у претраживачу интерних Дасхлане лозинки

Популарна апликација 1Пассворд четири Андроид-а имала је пет рањивости, укључујући проблеме са приватношћу и пропуштањем лозинке.

  • СИК-2016-038: цурење поддомена у интерном прегледачу 1Пассворд
  • СИК-2016-039: Хттпс прелазак на хттп УРЛ по дефаулту у интерном претраживачу 1Пассворд
  • СИК-2016-040: Наслови и УРЛ-ови нису шифровани у бази података 1Пассворд
  • СИК-2016-041: Прочитајте приватне податке из директоријума апликација у 1Пассворд Манагер
  • СИК-2016-042: Питање о приватности, Информације су стигле до продавца 1Пассворд Манагер

Можете да погледате пуна листа апликација анализиране и рањивости на веб страници Фраунхофер Институте.

Белешка : Све откривене рањивости фиксирале су компаније које развијају апликације. Неки поправци су још увек у развоју. Препоручује се ажурирање апликација што је пре могуће ако их покренете на својим мобилним уређајима.

Закључак истраживачког тима је прилично поражавајући:

Иако ово показује да су чак и најосновније функције управитеља лозинки често рањиве, ове апликације такође пружају додатне функције, које могу, опет, утицати на безбедност. Открили смо да се, на пример, функције аутоматског попуњавања апликација могу злоупотребити за крађу сачуваних тајни из апликације за управљање лозинкама помоћу напада „скривеног пхисхинга“. За бољу подршку обрасца за аутоматско попуњавање лозинки на веб страницама, неке апликације пружају сопствене веб прегледаче. Ови прегледачи су додатни извор рањивости, као што је пропуштање приватности.

Сад сте : Користите ли апликацију за управљање лозинком? (виа Тхе Хацкер Невс )