Varnostni raziskovalci inštituta Fraunhofer so pri devetih upravljalcih gesel za Android ugotovili resne varnostne težave, ki so jih analizirali v okviru svojih raziskav.
Upravitelji gesel so priljubljena možnost za shranjevanje podatkov za preverjanje pristnosti. Vsi obljubljajo varno shranjevanje lokalno ali na daljavo, nekatere pa lahko v kombinacijo dodajo še druge funkcije, kot so geslo, samodejna prijava ali shranjevanje pomembnih podatkov, kot so številke kreditne kartice ali zatiči.
Nedavna študija inštituta Fraunhofer je z varnostnega vidika na skrbnike Googlovih operacijskih sistemov Android preučila devet upravljalcev gesel. Raziskovalci so analizirali naslednje upravljalnike gesel: LastPass, 1Password, Moja gesla, Upravitelj gesel Dashlane, Upravitelj gesel Informaticore, F-Secure KEY, Keepsafe, Keeper in Avast Gesla.
Nekatere aplikacije imajo več kot 50 milijonov namestitev, vse pa vsaj 100.000.
Upravitelji gesel za varnostno analizo Android
Zaključek ekipe bi moral zaskrbeti vsakogar, ki izvaja upravljalnik gesel v sistemu Android. Čeprav ni jasno, ali imajo tudi druge aplikacije za upravljanje gesel za Android ranljivosti, obstaja vsaj možnost, da je res tako.
Skupni rezultati so bili zelo zaskrbljujoči in pokazali so, da aplikacije za upravljanje gesel kljub trditvam ne zagotavljajo dovolj zaščitnih mehanizmov za shranjena gesla in poverilnice. Namesto tega zlorabljajo zaupanje uporabnikov in jih izpostavljajo velikim tveganjem.
Vsaj ena varnostna ranljivost je bila ugotovljena v vsaki od aplikacij, ki so jih raziskovalci analizirali. To je šlo tako, da so nekatere aplikacije shranile glavni ključ v navadnem besedilu, druge pa s trdo kodiranimi kriptografskimi ključi v kodi. V drugem primeru je namestitev preproste pomočne aplikacije izvlekla gesla, shranjena v aplikaciji za geslo.
Tri ranljivosti so bile ugotovljene samo v sistemu LastPass. Najprej trdo kodiran glavni ključ, nato puščanje podatkov pri iskanju brskalnika in na koncu ranljivost, ki vpliva na LastPass v sistemu Android 4.0.x in nižje, kar napadalcem omogoča, da ukradejo shranjeno glavno geslo.
- SIK-2016-022: Trdi kodirani glavni ključ v LastPass Password Manager
- SIK-2016-023: Zasebnost, uhajanje podatkov v iskanju brskalnika LastPass
- SIK-2016-024: Preberite zasebni datum (Shranjeni glavni lozinki) iz LastPass Password Manager
V Dashlaneu, drugi priljubljeni aplikaciji za upravljanje gesel, so bile prepoznane štiri ranljivosti. Te ranljivosti so napadalcem omogočile branje zasebnih podatkov iz mape z aplikacijami, zlorabo puščanja informacij in izvajanje napada za pridobivanje glavnega gesla.
- SIK-2016-028: v aplikaciji Dashlane Password Manager preberite zasebne podatke iz mape z aplikacijami
- SIK-2016-029: Puščanje informacij o Googlovem iskanju v brskalniku Upravitelj gesel Dashlane
- SIK-2016-030: Ostanki napada Izvlečejo glavno besedo iz upravitelja gesla Dashlane
- SIK-2016-031: puščanje poddomena v brskalniku Internal Dashlane Password Manager
Priljubljena aplikacija 1Password štiri Android je imela pet ranljivosti, vključno s težavami z zasebnostjo in puščanjem gesla.
- SIK-2016-038: puščanje gesla poddomena v notranjem brskalniku 1Password
- SIK-2016-039: Https znižanje na http URL privzeto v 1Password Internal Browser
- SIK-2016-040: Naslovi in URL-ji niso šifrirani v 1Password Database
- SIK-2016-041: Preberite zasebne podatke iz mape z aplikacijami v 1Password Manager
- SIK-2016-042: izdaja zasebnosti, podatki so prepuščeni prodajalcu 1Password Manager
Celoten seznam analiziranih aplikacij in ranljivosti si lahko ogledate na spletni strani Fraunhofer Institute.
Opomba : Vse razkrite ranljivosti so določile družbe, ki razvijajo aplikacije. Nekateri popravki se še razvijajo. Priporočamo, da aplikacije posodobite čim prej, če jih zaženete na svojih mobilnih napravah.
Zaključek raziskovalne skupine je zelo uničujoč:
Čeprav to kaže, da so tudi najosnovnejše funkcije upravitelja gesel pogosto ranljive, te aplikacije zagotavljajo tudi dodatne funkcije, ki lahko znova vplivajo na varnost. Ugotovili smo, da se lahko na primer funkcije samodejnega izpolnjevanja aplikacij zlorabljajo za krajo shranjenih skrivnosti iz aplikacije za upravljanje gesel z napadi "skritega lažnega predstavljanja". Za boljšo podporo obrazcem za samodejno polnjenje gesel na spletnih straneh nekatere aplikacije ponujajo lastne spletne brskalnike. Ti brskalniki so dodaten vir ranljivosti, kot je uhajanje zasebnosti.
Zdaj Vi : Ali uporabljate program za upravljanje gesla? (prek novic Hacker News)
