Problémy s bezpečnosťou nájdené v deviatich správcoch hesiel pre Android (LastPass, Dashlane ..)

Výskumníci v oblasti bezpečnosti Fraunhoferovho inštitútu zistili závažné bezpečnostné problémy v deviatich správcoch hesiel pre Android, ktoré analyzovali v rámci svojho výskumu.

Správcovia hesiel sú obľúbenou možnosťou ukladania autentifikačných informácií. Všetky sľubujú bezpečné úložisko buď lokálne alebo vzdialene a niektoré môžu do mixu pridať ďalšie funkcie, ako je generovanie hesla, automatické prihlasovanie alebo ukladanie dôležitých údajov, ako sú čísla kreditných kariet alebo špendlíky.

Posledná štúdia Fraunhoferovho inštitútu sa zaoberala deviatimi správcami hesiel pre operačný systém Android spoločnosti Google z hľadiska bezpečnosti. Vedci analyzovali nasledujúce manažérov hesiel: LastPass, 1Password, My Passwords, Dashlane Password Manager, Password Manager Informaticore, F-Secure KEY, Keepsafe, Keeper a Avast Passwords.

Niektoré aplikácie majú viac ako 50 miliónov inštalácií a všetkých najmenej 100 000 inštalácií.

Správcovia hesiel v analýze zabezpečenia systému Android

Záver tímu by mal mať obavy, kto implementuje správcu hesiel v systéme Android. Aj keď nie je jasné, či aj iné aplikácie na správu hesiel pre systém Android majú zraniteľné miesta, existuje aspoň šanca, že tomu tak skutočne je.

Celkové výsledky boli mimoriadne znepokojujúce a odhalili, že aplikácie na správu hesiel, napriek ich tvrdeniam, neposkytujú dostatok uložených ochranných mechanizmov pre uložené heslá a poverenia. Namiesto toho zneužívajú dôveru používateľov a vystavujú ich vysokým rizikám.

V každej z aplikácií, ktoré výskumníci analyzovali, bola identifikovaná najmenej jedna bezpečnostná zraniteľnosť. To išlo tak ďaleko, ako niektoré aplikácie ukladajúce hlavný kľúč vo formáte obyčajného textu, a iné používali v kóde šifrované kľúče s pevným kódom. V inom prípade inštalácia jednoduchej pomocnej aplikácie extrahovala heslá uložené v aplikácii hesiel.

Iba v LastPass boli identifikované tri zraniteľné miesta. Najskôr pevne zakódovaný hlavný kľúč, potom úniky údajov pri vyhľadávaní v prehliadači a nakoniec zraniteľnosť, ktorá ovplyvňuje LastPass v systéme Android 4.0.x a nižšom, čo útočníkom umožňuje ukradnúť uložené hlavné heslo.

  • SIK-2016-022: Hardcoded Master Key v LastPass Password Manager
  • SIK-2016-023: Ochrana osobných údajov, Únik údajov pri vyhľadávaní v prehliadači LastPass
  • SIK-2016-024: Čítanie súkromného dátumu (uložené hlavné heslo) od správcu hesiel LastPass

V Dashlane, inej populárnej aplikácii na správu hesiel, boli identifikované štyri chyby zabezpečenia. Tieto chyby zabezpečenia umožnili útočníkom čítať súkromné ​​údaje zo zložky aplikácie, zneužívali informačné úniky a spustili útok na získanie hlavného hesla.

  • SIK-2016-028: Čítanie súkromných údajov zo zložky aplikácií v Dashlane Password Manager
  • SIK-2016-029: Únik informácií o vyhľadávaní Google v prehliadači Dashlane Password Manager
  • SIK-2016-030: Reziduálne útoky extrahujúce hlavné heslo z Dashlane Password Manager
  • SIK-2016-031: Netesnosť hesla pre subdoménu vo vnútornom prehliadači správcu hesiel

Populárna aplikácia 1Password štyri Android mala päť zraniteľností vrátane problémov s privátnosťou a úniku hesla.

  • SIK-2016-038: Netesnosť hesla pre subdoménu v internom prehliadači 1 hesiel
  • SIK-2016-039: Https downgrade na http URL v predvolenom nastavení v 1Password Internal Browser
  • SIK-2016-040: Názvy a adresy URL nie sú šifrované v databáze 1 hesiel
  • SIK-2016-041: Čítanie súkromných údajov zo zložky aplikácií v aplikácii 1Password Manager
  • SIK-2016-042: Problém ochrany osobných údajov, informácie boli prepustené predajcovi 1Password Manager

Celý zoznam analyzovaných aplikácií a zraniteľné miesta nájdete na webovej stránke Fraunhofer Institute.

Poznámka : Všetky zverejnené zraniteľné miesta boli odstránené spoločnosťami, ktoré vyvíjajú aplikácie. Niektoré opravy sa stále vyvíjajú. Ak ich spúšťate na mobilných zariadeniach, odporúča sa ich aktualizovať čo najskôr.

Záver výskumného tímu je celkom zničujúci:

Aj keď to ukazuje, že aj najzákladnejšie funkcie správcu hesiel sú často zraniteľné, tieto aplikácie poskytujú aj ďalšie funkcie, ktoré môžu opäť ovplyvniť bezpečnosť. Zistili sme, že napríklad funkcie automatického dopĺňania aplikácií môžu byť zneužité, aby ukradli uložené tajomstvá z aplikácie Password Manager pomocou útokov „skrytého phishingu“. Niektoré aplikácie poskytujú pre svoju lepšiu podporu formulárov na automatické vyplňovanie hesiel na webových stránkach svoje vlastné webové prehliadače. Tieto prehliadače sú ďalším zdrojom zraniteľností, napríklad únikom súkromia.

Teraz ste : Používate aplikáciu správcu hesiel? (prostredníctvom správ The Hacker News)