Проблеми із безпекою знайдено у дев'яти менеджерах паролів для Android (LastPass, Dashlane ..)

• Категорія: Безпека

Спробуйте Наш Інструмент Для Усунення Проблем

Виберіть Операційну Систему Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Виберіть Програму Проекції (Необов'Язково) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишіть Свою Проблему

Отримати Відповідь

Надіслати Мене Електронною Поштою Показати На Сайті

Дослідники з безпеки Інституту Фраунгофера виявили серйозні проблеми безпеки у дев'яти менеджерах паролів для Android, які вони проаналізували в рамках своїх досліджень.

Менеджери паролів - це популярний варіант, коли мова йде про зберігання інформації про автентифікацію. Усі обіцяють надійне зберігання локально або віддалено, а деякі можуть додавати до суміші інші функції, такі як генерація пароля, автоматичне вхід у систему або збереження важливих даних, таких як номери кредитних карток або шпильки.

Нещодавно проведене дослідження Інституту Фраунхофера розглядало дев'ять менеджерів паролів для операційної системи Google Android з точки зору безпеки. Дослідники проаналізували таких менеджерів паролів: LastPass, 1Password, Мої паролі, Менеджер паролів Dashlane, Менеджер паролів Informaticore, F-Secure KEY, Keepsafe, Keeper та Avast Passwords.

Деякі додатки мають понад 50 мільйонів установок, а всі принаймні 100 000 установок.

Менеджери паролів для аналізу безпеки Android

Висновок команди повинен хвилювати всіх, хто впроваджує менеджер паролів на Android. Хоча незрозуміло, чи в інших програмах менеджера паролів для Android також є вразливості, є принаймні шанс, що це дійсно так.

Загальні результати були надзвичайно тривожними, і було виявлено, що програми керування паролями, незважаючи на свої вимоги, не забезпечують достатнього механізму захисту збережених паролів та облікових даних. Натомість вони зловживають довірою користувачів і наражають їх на високий ризик.

Принаймні одна вразливість безпеки була виявлена ​​у кожному з додатків, які досліджували дослідники. Це стосувалося деяких програм, які зберігають головний ключ у простому тексті, а інші використовують жорстко закодовані криптографічні ключі в коді. В іншому випадку, встановлення простої програми-помічника витягнуло паролі, збережені паролем.

Три вразливості були виявлені лише в LastPass. Спочатку важко закодований головний ключ, потім витоки даних у пошуку браузера, і нарешті вразливість, що впливає на LastPass на Android 4.0.x і нижче, що дозволяє зловмисникам красти збережений основний пароль.

• SIK-2016-022: жорсткий код головного ключа в LastPass Password Manager
• SIK-2016-023: конфіденційність, витік даних у веб-пошуку браузера LastPass
• SIK-2016-024: прочитати приватну дату (зберігається головне слово) від LastPass Password Manager

Чотири вразливості були виявлені в Dashlane, іншому популярному додатку для керування паролями. Ці вразливості дозволили зловмисникам читати приватні дані з папки додатків, зловживати витоками інформації та запускати атаку, щоб витягти головний пароль.

• SIK-2016-028: читайте приватні дані з папки додатків у Dashlane Manager Manager
• SIK-2016-029: витік інформації пошуку Google у веб-переглядачі Dashlane Password Manager
• SIK-2016-030: Залишок атаки вилучення головного слова з Dashlane Manager Manager
• SIK-2016-031: витік паролів субдоменів у внутрішньому браузері диспетчера паролів Dashlane

У популярному додатку 1Password чотири Android було п'ять вразливих місць, включаючи проблеми з приватністю та витоком пароля.

• SIK-2016-038: Піддоменний витік пароля у внутрішньому браузері 1Password
• SIK-2016-039: перехід на http до URL-адреси за замовчуванням у внутрішній браузер 1Password
• SIK-2016-040: заголовки та URL-адреси не зашифровані в базі даних 1Password
• SIK-2016-041: читайте приватні дані з папки додатка в 1Password Manager
• SIK-2016-042: питання конфіденційності, інформація просочена до менеджера постачальників 1Password

Ви можете перевірити повний список програм проаналізовано та вразливості на веб-сайті Інституту Фраунгофера.

Примітка : Усі розкриті вразливості були виправлені компаніями, які розробляють додатки. Деякі виправлення ще в розробці. Рекомендується оновити додатки якомога швидше, якщо ви запускаєте їх на своїх мобільних пристроях.

Висновок дослідницької групи є досить руйнівним:

Хоча це показує, що навіть найбільш основні функції менеджера паролів часто вразливі, ці додатки також надають додаткові функції, які, знову ж таки, можуть вплинути на безпеку. Ми виявили, що, наприклад, функціями автоматичного заповнення програм можна зловживати для викрадення збережених секретів із програми керування паролями за допомогою атак «прихованого фішингу». Для кращої підтримки автоматичного заповнення форм паролів на веб-сторінках деякі програми надають власні веб-браузери. Ці браузери є додатковим джерелом вразливих ситуацій, таких як витоки конфіденційності.

Тепер ти : Чи використовуєте програму керування паролями? (через Гакерські новини )