Sikkerhetsproblemer funnet i ni passordbehandlere for Android (LastPass, Dashlane ..)

Sikkerhetsforskere ved Fraunhofer Institute fant alvorlige sikkerhetsproblemer i ni passordbehandlere for Android som de analyserte som en del av forskningen sin.

Passordbehandlere er et populært alternativ når det gjelder lagring av autentiseringsinformasjon. Alle lover sikker lagring enten lokalt eller eksternt, og noen kan legge til andre funksjoner i blandingen som generering av passord, automatisk pålogging eller lagring av viktige data som kredittkortnummer eller pins.

En fersk undersøkelse fra Fraunhofer Institute så på ni passordbehandlere for Googles Android-operativsystem fra et sikkerhetssynspunkt. Forskerne analyserte følgende passordbehandlere: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticores Password Manager, F-Secure KEY, Keepsafe, Keeper og Avast Passwords.

Noen av appene har mer enn 50 millioner installasjoner, og alle minst 100 000 installasjoner.

Passordledere på Android sikkerhetsanalyse

Lagets konklusjon skal ha noen bekymret som implementerer en passordbehandler på Android. Selv om det er uklart om andre passordbehandlingsapplikasjoner for Android også har sårbarheter, er det i det minste en sjanse for at dette faktisk er tilfelle.

De samlede resultatene var ekstremt bekymringsfulle og avdekket at passordbehandlingsapplikasjoner, til tross for påstandene sine, ikke gir nok beskyttelsesmekanismer for de lagrede passordene og legitimasjonene. I stedet misbruker de brukernes tillit og utsetter dem for stor risiko.

Minst ett sikkerhetssårbarhet ble identifisert i hver av appene forskerne analyserte. Dette gikk så langt som noen applikasjoner som lagret hovednøkkelen i ren tekst, og andre som bruker hardkodede kryptografiske nøkler i kode. I et annet tilfelle hentet installasjonen av et enkelt hjelperapplikasjon passordene som er lagret av passordprogrammet.

Tre sårbarheter ble identifisert i LastPass alene. Først en hardkodet hovednøkkel, deretter lekker data i nettlesersøk, og til slutt en sårbarhet som påvirker LastPass på Android 4.0.x og lavere, noe som lar angripere stjele det lagrede hovedpassordet.

  • SIK-2016-022: Hardkodet hovednøkkel i LastPass Password Manager
  • SIK-2016-023: Personvern, Datalekkasje i LastPass Browser Search
  • SIK-2016-024: Les privat dato (lagret hovedpassord) fra LastPass Password Manager

Fire sårbarheter ble identifisert i Dashlane, et annet populært passordbehandlingsapplikasjon. Disse sårbarhetene gjorde at angripere kunne lese private data fra appmappen, misbruke informasjonslekkasjer og kjøre et angrep for å trekke ut hovedpassordet.

  • SIK-2016-028: Les private data fra appmappe i Dashlane Password Manager
  • SIK-2016-029: Google Søk informasjonslekkasje i Dashlane Password Manager Browser
  • SIK-2016-030: Residue Attack Extracting Masterpassword Fra Dashlane Password Manager
  • SIK-2016-031: Underdomen passordlekkasje i intern nettleser for Dashlane Password Manager

Den populære 1Password-applikasjonen fire Android hadde fem sårbarheter, inkludert problemer med privatliv og passordlekkasje.

  • SIK-2016-038: Subdomene passordlekkasje i 1Password intern nettleser
  • SIK-2016-039: Https nedgraderes til http URL som standard i 1Password intern nettleser
  • SIK-2016-040: Titler og URL-er som ikke er kryptert i 1Password-database
  • SIK-2016-041: Les private data fra appmappe i 1Password Manager
  • SIK-2016-042: Personvernproblem, informasjon lekket til leverandør 1Password Manager

Du kan sjekke den komplette listen over apper som er analysert og sårbarhetene på nettstedet Fraunhofer Institute.

Merk : Alle avslørte sårbarheter er fikset av selskapene som utvikler applikasjonene. Noen fikser er fremdeles i utvikling. Det anbefales at du oppdaterer applikasjonene så snart som mulig hvis du kjører dem på dine mobile enheter.

Konklusjonen til forskerteamet er ganske ødeleggende:

Selv om dette viser at selv de mest grunnleggende funksjonene til en passordbehandler ofte er sårbare, gir disse appene også tilleggsfunksjoner, som igjen kan påvirke sikkerheten. Vi fant ut at for eksempel automatiske utfyllingsfunksjoner for applikasjoner kunne misbrukes for å stjele de lagrede hemmelighetene fra passordbehandlingsprogrammet ved å bruke "skjult phishing" -angrep. For en bedre støtte for automatisk utfylling av passordformer på websider, gir noen av applikasjonene egne nettlesere. Disse nettleserne er en ekstra kilde til sårbarheter, for eksempel lekkasje av personvern.

Nå du : Bruker du et passordbehandlingsapplikasjon? (via The Hacker News)