Истраживачи сигурности Института Фраунхофер пронашли су озбиљне сигурносне проблеме у девет менаџера лозинки за Андроид које су анализирали у склопу својих истраживања.
Менаџери лозинки су популарна опција када се ради о чувању података за аутентификацију. Сви обећавају сигурну похрану локално или на даљину, а неке могу додати и друге карактеристике у комбинацију, као што су генерирање лозинке, аутоматско пријављивање или спремање важних података као што су бројеви кредитне картице или игле.
Недавно истраживање Института Фраунхофер разматрало је девет менаџера лозинки за Гоогле-ов Андроид оперативни систем са становишта безбедности. Истраживачи су анализирали следеће менаџере лозинки: ЛастПасс, 1Пассворд, Ми Пассвордс, Дасхлане Пассворд Манагер, Информатицоре'с Пассворд Манагер, Ф-Сецуре КЕИ, Кеепсафе, Кеепер и Аваст Пассвордс.
Неке од апликација имају више од 50 милиона инсталација, а све најмање 100.000 инсталација.
Менаџери лозинки у безбедносној анализи Андроид-а
Закључак тима требало би да брине свако ко имплементира управитељ лозинки на Андроиду. Иако није јасно да ли и друге апликације за управљање лозинкама за Андроид имају рањивости, постоји бар шанса да је то заиста тако.
Укупни резултати били су изузетно забрињавајући и открили су да апликације за управљање лозинкама, упркос својим тврдњама, не пружају довољно заштитних механизама за сачуване лозинке и поверљиве податке. Уместо тога, они злоупотребљавају поверење корисника и излажу их високом ризику.
У свакој апликацији коју су истраживачи анализирали идентификована је најмање једна рањивост у безбедности. То је ишло до неких апликација које су чувале главни кључ у обичном тексту, а друге су користиле тврдо кодиране криптографске кључеве у коду. У другом случају, инсталација једноставне хелпер апликације извукла је лозинке похрањене у апликацији за лозинку.
Три рањивости идентификоване су само у ЛастПасс-у. Прво тврдо кодирани матични кључ, затим цурење података у претраживању претраживача, а на крају и рањивост која утиче на ЛастПасс на Андроид 4.0.к и нижем, што омогућава нападачима да украду сачувану главну лозинку.
- СИК-2016-022: Тврди кодирани главни кључ у програму ЛастПасс Пассворд Манагер
- СИК-2016-023: Приватност, цурење података у претраживању ЛастПасс претраживача
- СИК-2016-024: Прочитајте приватни датум (похрањени мастерпассворд) са ЛастПасс Пассворд Манагер-а
Четири рањивости идентификоване су у Дасхланеу, још једној популарној апликацији за управљање лозинкама. Ове рањивости омогућиле су нападачима да читају приватне податке из директоријума апликација, злоупотребе цурења информација и изврше напад како би извукли главну лозинку.
- СИК-2016-028: Прочитајте приватне податке из директоријума апликација у Дасхлане менаџеру лозинки
- СИК-2016-029: цурење информација о Гоогле претраживању у прегледачу Дасхлане Пассворд Манагер
- СИК-2016-030: Атид Ресидуе Аттацк извлачи главну реч из Дасхлане Менаџера лозинки
- СИК-2016-031: цурење поддомена у прегледачу Интернета Дасхлане Пассворд Манагер
Популарна апликација 1Пассворд четири Андроид-а имала је пет рањивости, укључујући проблеме са приватношћу и пропуштањем лозинке.
- СИК-2016-038: цурење поддомена у интерном прегледачу 1Пассворд
- СИК-2016-039: Хттпс прелазак на хттп УРЛ по дефаулту у интерном претраживачу 1Пассворд
- СИК-2016-040: Наслови и УРЛ-ови нису шифровани у бази података 1Пассворд
- СИК-2016-041: Прочитајте приватне податке из мапе апликација у 1Пассворд Манагер
- СИК-2016-042: Питање о приватности, Информације су стигле до продавца 1Пассворд Манагер
Комплетну листу анализираних апликација и рањивости можете погледати на веб локацији Фраунхофер Институте.
Напомена : Све откривене рањивости фиксирале су компаније које развијају апликације. Неки поправци су још увек у развоју. Препоручује се да ажурирате апликације што је пре могуће ако их покренете на својим мобилним уређајима.
Закључак истраживачког тима је прилично поражавајући:
Иако ово показује да су чак и најосновније функције управитеља лозинки често рањиве, ове апликације такође пружају додатне функције, које могу, опет, утицати на безбедност. Открили смо да се, на пример, функције аутоматског попуњавања апликација могу злоупотребити за крађу сачуваних тајни из апликације за управљање лозинкама помоћу напада „скривеног пхисхинга“. За бољу подршку обрасца за аутоматско попуњавање лозинки на веб страницама, неке апликације пружају сопствене веб прегледаче. Ови прегледачи су додатни извор рањивости, као што је пропуштање приватности.
Сада ви : Да ли користите апликацију за управљање лозинкама? (преко Тхе Хацкер Невс)
