A Fraunhofer Intézet biztonsági kutatói az Android kilenc jelszókezelőjében súlyos biztonsági problémákat találtak, amelyeket kutatásuk részeként elemeztek.
A jelszókezelők népszerű választás a hitelesítési információk tárolásakor. Mindegyik biztonságos tárolást ígér helyileg vagy távolról, és egyesek más funkciókat is hozzáadhatnak a keverékhez, például jelszó létrehozása, automatikus bejelentkezés vagy fontos adatok mentése, például hitelkártya számok vagy tűk.
A Fraunhofer Intézet nemrégiben végzett tanulmánya biztonsági szempontból kilenc jelszókezelőt vizsgált a Google Android operációs rendszerére. A kutatók a következő jelszókezelőket elemezték: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper és Avast jelszavak.
Néhány alkalmazásnak több mint 50 millió telepítése van, és az összes alkalmazás legalább 100 000.
Jelszókezelők az Android biztonsági elemzésén
A csapat következtetéseinek bárkivel kell aggódnia, aki az Androidon végrehajtja a jelszókezelőt. Bár nem egyértelmű, hogy az Android többi jelszókezelő alkalmazásában is vannak-e sebezhetőségek, legalább fennáll annak a esélye, hogy valóban ez a helyzet.
Az átfogó eredmények rendkívül aggasztóak és felfedték, hogy a jelszókezelő alkalmazások - állításuk ellenére - nem biztosítanak elegendő védelmet a tárolt jelszavak és hitelesítő adatok számára. Ehelyett visszaélnek a felhasználók bizalmával, és ki vannak téve őket nagy kockázatoknak.
A kutatók által elemzett alkalmazásokban legalább egy biztonsági rést azonosítottak. Ez annyira ment, hogy néhány alkalmazás mesterkulcsot sima szövegben tárol, míg mások keményen kódolt kriptográfiai kulcsot használnak kódban. Egy másik esetben egy egyszerű segítő alkalmazás telepítése kibontotta a jelszó alkalmazás által tárolt jelszavakat.
Három sebezhetőséget azonosítottak csak a LastPass alkalmazásban. Először egy kódolt fő kulcs, majd az adatok szivárognak a böngésző keresésében, végül pedig a LastPassot sújtó biztonsági résen az Android 4.0.x vagy újabb verziónál, amely lehetővé teszi a támadók számára, hogy eltulajdonítsák a tárolt fő jelszót.
- SIK-2016-022: Merevkódú főkulcs a LastPass Jelszókezelőben
- SIK-2016-023: Adatvédelem, adatszivárgás a LastPass böngészőben
- SIK-2016-024: Olvassa el a Privát Dátumot (Tárolt Mesterszó) a LastPass Jelszókezelőtől
Négy sebezhetőséget azonosítottak a Dashlane-ban, amely egy másik népszerű jelszókezelő alkalmazás. Ezek a sérülékenységek lehetővé tették a támadók számára, hogy privát adatokat olvassanak az alkalmazás mappájából, visszaéljenek információkkal, és támadást indítsanak a fő jelszó kibontása érdekében.
- SIK-2016-028: Olvassa el a személyes adatokat az alkalmazásmappából a Dashlane Password Manager alkalmazásban
- SIK-2016-029: A Google keresési információ szivárgása a Dashlane Password Manager böngészőben
- SIK-2016-030: Residue Attack Masterpassword kinyerése a Dashlane Password Manager alkalmazásból
- SIK-2016-031: Aldomain jelszószivárgás a belső irányjelző jelszókezelő böngészőben
A népszerű 1Password alkalmazás négy Android-ban öt biztonsági rést szenvedett, ideértve az adatvédelmi problémákat és a jelszó kiszivárgását.
- SIK-2016-038: Aldomain jelszószivárgás az 1Padword belső böngészőben
- SIK-2016-039: A Https alapértelmezett szintre állítása a http URL-re az 1Password belső böngészőben
- SIK-2016-040: A titkok és az URL-ek nem titkosítva az 1Password adatbázisban
- SIK-2016-041: Olvassa el a privát adatokat az alkalmazásmappából az 1Password Manager alkalmazásban
- SIK-2016-042: Adatvédelmi probléma, az információk kiszivárgása az 1-es Gyártójelszó-kezelőnek
Nézze meg az elemzett alkalmazások teljes listáját és a sebezhetőségeket a Fraunhofer Intézet webhelyén.
Megjegyzés : Az összes feltárt sebezhetőséget az alkalmazást fejlesztő vállalatok javították ki. Néhány javítás még fejlesztés alatt áll. Javasoljuk, hogy az alkalmazásokat minél hamarabb frissítse, ha a mobileszközökön futtatja őket.
A kutatócsoport következtetései nagyon pusztító:
Bár ez azt mutatja, hogy még a jelszókezelő legalapvetőbb funkciói gyakran sebezhetők, ezek az alkalmazások kiegészítő funkciókat is kínálnak, amelyek szintén befolyásolhatják a biztonságot. Megállapítottuk, hogy például az alkalmazások automatikus kitöltési funkciói visszaélhetnek azzal, hogy a rejtett adathalász támadásokkal ellopják a tárolt titkokat a jelszókezelő alkalmazásból. A weblapokon a jelszó-formák automatikus kitöltésének jobb támogatása érdekében egyes alkalmazások saját webböngészőket biztosítanak. Ezek a böngészők a biztonsági rések, például az adatvédelmi szivárgás további forrását jelentik.
Most Ön : Használ egy jelszókezelő alkalmazást? (a Hacker Híren keresztül)
