Vědci zabývající se bezpečností Fraunhoferova institutu našli v devíti správcích hesel pro Android závažné bezpečnostní problémy, které analyzovali v rámci svého výzkumu.
Správci hesel jsou populární možností, pokud jde o ukládání ověřovacích informací. Všechny slibují zabezpečené úložiště, ať už lokálně nebo vzdáleně, a některé mohou do mixu přidat další funkce, jako je generování hesla, automatické přihlášení nebo ukládání důležitých dat, jako jsou čísla kreditních karet nebo kolíky.
Nedávná studie Fraunhoferova institutu se zabývala devíti správci hesel pro operační systém Android společnosti Google z hlediska bezpečnosti. Vědci analyzovali následující správce hesel: LastPass, 1Password, My Passwords, Dashlane Password Manager, Password Manager Informaticore, F-Secure KEY, Keepsafe, Keeper a Avast Passwords.
Některé aplikace mají více než 50 milionů instalací a všech nejméně 100 000 instalací.
Správci hesel při analýze zabezpečení systému Android
Závěr týmu by měl mít obavy, kdo implementuje správce hesel v systému Android. I když není jasné, zda i jiné aplikace pro správu hesel pro Android mají zranitelnost, existuje alespoň šance, že tomu tak skutečně je.
Celkové výsledky byly velmi znepokojivé a odhalily, že aplikace správce hesel, navzdory jejich nárokům, neposkytují dostatečné ochranné mechanismy pro uložená hesla a přihlašovací údaje. Místo toho zneužívají důvěru uživatelů a vystavují je vysokým rizikům.
V každé z aplikací analyzovaných vědci byla identifikována alespoň jedna chyba zabezpečení. To šlo tak daleko, že některé aplikace ukládaly hlavní klíč v prostém textu a jiné používaly v kódu pevně zakódované kryptografické klíče. V jiném případě instalace jednoduché pomocné aplikace extrahovala hesla uložená v aplikaci hesel.
Pouze v LastPassu byly identifikovány tři chyby zabezpečení. Nejprve pevně zakódovaný hlavní klíč, poté úniky dat ve vyhledávání v prohlížeči a nakonec zranitelnost ovlivňující LastPass na Android 4.0.x a nižším, která útočníkům umožňuje ukrást uložené hlavní heslo.
- SIK-2016-022: Pevně kódovaný hlavní klíč ve Správci hesel LastPass
- SIK-2016-023: Ochrana osobních údajů, Únik dat při vyhledávání v prohlížeči LastPass
- SIK-2016-024: Přečtěte si soukromé datum (uložené hlavní heslo) z LastPass Password Manager
V Dashlane, další populární aplikaci pro správu hesel, byly identifikovány čtyři chyby zabezpečení. Tato zranitelnost umožnila útočníkům číst soukromá data ze složky aplikace, úniky informací o zneužití a spuštění útoku za účelem získání hlavního hesla.
- SIK-2016-028: Čtení soukromých dat ze složky aplikace ve Správci hesel Dashlane
- SIK-2016-029: Únik informací o vyhledávání Google v prohlížeči Dashlane Password Manager
- SIK-2016-030: Reziduální útok extrahující hlavní heslo ze správce hesel Dashlane
- SIK-2016-031: Netěsnost hesla subdomény v interním prohlížeči správce hesel Dashlane
Populární aplikace 1Password čtyři Android měla pět zranitelných míst, včetně problémů s privátností a úniku hesla.
- SIK-2016-038: Netěsnost hesla subdomény v interním prohlížeči 1Password
- SIK-2016-039: Https downgrade na http URL ve výchozím nastavení v interním prohlížeči 1Password
- SIK-2016-040: Názvy a adresy URL nejsou šifrovány v databázi 1 hesel
- SIK-2016-041: Čtení soukromých dat ze složky aplikací ve Správci 1 hesel
- SIK-2016-042: Problém ochrany osobních údajů, informace unikly dodavateli 1Password Manager
Úplný seznam analyzovaných aplikací a zranitelností si můžete prohlédnout na webu Fraunhofer Institute.
Poznámka : Všechny zveřejněné chyby zabezpečení byly opraveny společnostmi, které vyvíjejí aplikace. Některé opravy se stále vyvíjejí. Pokud je používáte na mobilních zařízeních, doporučujeme vám je aktualizovat co nejdříve.
Závěr výzkumného týmu je celkem devastující:
I když to ukazuje, že i ty nejzákladnější funkce správce hesel jsou často zranitelné, tyto aplikace také poskytují další funkce, které mohou opět ovlivnit bezpečnost. Zjistili jsme, že například funkce automatického vyplňování aplikací mohou být zneužity k odcizení uložených tajemství z aplikace správce hesel pomocí útoků „skrytého phishingu“. Pro lepší podporu automatického vyplňování formulářů s hesly na webových stránkách některé aplikace poskytují vlastní webové prohlížeče. Tyto prohlížeče jsou dalším zdrojem zranitelností, jako je únik soukromí.
Nyní vy : Používáte aplikaci správce hesel? (prostřednictvím zpráv The Hacker News)
