Turvaprobleemid leiti üheksas Androidi paroolihalduris (LastPass, Dashlane ..)

Fraunhoferi instituudi turvateadlased leidsid üheksale Androidi paroolihaldurile tõsiseid turvaprobleeme, mida nad oma uurimistöö osana analüüsisid.

Paroolide haldurid on autentimisinfo salvestamise puhul populaarne valik. Kõik lubavad turvalist ladustamist kas kohapeal või kaugjuhtimisega ning mõned võivad segule lisada muid funktsioone, näiteks paroolide genereerimine, automaatsed sisselogimised või oluliste andmete, näiteks krediitkaardinumbrite või nööpnõelte salvestamine.

Fraunhoferi instituudi hiljutises uuringus vaadeldi turvalisuse aspektist üheksa Google'i Androidi opsüsteemi paroolihaldurit. Teadlased analüüsisid järgmisi paroolihaldureid: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper ja Avast Paroolid.

Mõnes rakenduses on rohkem kui 50 miljonit installimist ja kõigis vähemalt 100 000 installimist.

Paroolihaldurid Androidi turbeanalüüsis

android password managers

Meeskonna järelduses peaks olema keegi, kes muretseb, kes Androidis paroolide halduri juurutab. Kuigi pole selge, kas ka teistes Androidi paroolihalduri rakendustes on haavatavusi, on vähemalt võimalus, et see tõepoolest nii on.

Üldised tulemused olid äärmiselt murettekitavad ja näitasid, et paroolide halduri rakendused, vaatamata nende väidetele, ei paku salvestatud paroolide ja mandaatide jaoks piisavalt kaitsemehhanisme. Selle asemel kuritarvitavad nad kasutajate usaldust ja seovad neid suure riskiga.

Igas teadlaste analüüsitud rakenduses tuvastati vähemalt üks turvaauk. See läks nii kaugele, et mõned rakendused salvestasid põhivõtme lihttekstina ja teised kõvas koodis krüptograafilisi võtmeid koodis. Teisel juhul eraldas lihtsa abistajarakenduse installimine paroolirakenduse salvestatud paroolid.

Ainuüksi LastPassis tuvastati kolm haavatavust. Esiteks kõva kodeeringuga põhivõti, seejärel andmete lekked brauseri otsingus ja lõpuks haavatavus, mis mõjutab operatsioonisüsteemi Android 4.0.x ja vanemaid versioone LastPass ning mis võimaldab ründajatel varastatud salvestatud parooli varastada.

  • SIK-2016-022: kõvakodeeritud põhivõti LastPassi paroolide halduris
  • SIK-2016-023: Privaatsus, andmete lekkimine brauseri LastPass otsingus
  • SIK-2016-024: lugege erasektori kuupäeva (salvestatud parool) rakendusest LastPass Password Manager

Teises populaarses paroolide halduri rakenduses Dashlane tuvastati neli haavatavust. Need haavatavused võimaldasid ründajatel rakenduse kaustast privaatseid andmeid lugeda, teabe lekkeid kuritarvitada ja peaparooli väljavõtmiseks rünnata.

  • SIK-2016-028: lugege privaatseid andmeid rakenduse kaustast Dashlase'i paroolihalduris
  • SIK-2016-029: Google'i otsingu teabe leke Dashlase'i paroolihalduri brauseris
  • SIK-2016-030: jääkrünnak Masterparooli kaevandamine Dashlase'i paroolihaldurist
  • SIK-2016-031: Alamdomeeni parooli leke sisemise juhtpaneeli paroolide halduri brauseris

Populaarsel rakendusel 1Password oli neljal Androidil viis turvaauku, sealhulgas privaatsusprobleemid ja parooli lekkimine.

  • SIK-2016-038: alamdomeeni parooli leke 1-parooli sisemises brauseris
  • SIK-2016-039: Https alandab 1Password sisemises brauseris vaikimisi http URL-i
  • SIK-2016-040: Pealkirjad ja URL-id, mis pole 1Paroolide andmebaasis krüptitud
  • SIK-2016-041: lugege rakenduse kausta privaatseid andmeid rakenduses 1Password Manager
  • SIK-2016-042: privaatsuseprobleem, teave on levitatud müüjale 1Paroolide haldur

Saate vaadata täielik loetelu rakendustest analüüsitud ja haavatavaid kohti Fraunhoferi instituudi veebisaidil.

Märge : Kõik avalikustatud haavatavused on parandanud rakendusi arendavad ettevõtted. Mõned parandused on alles väljatöötamisel. Kui kasutate neid oma mobiilseadmetes, on soovitatav rakendusi võimalikult kiiresti värskendada.

Uurimisrühma järeldused on üsna laastavad:

Kuigi see näitab, et isegi paroolide halduri kõige põhifunktsioonid on sageli haavatavad, pakuvad need rakendused ka lisafunktsioone, mis võivad jällegi turvalisust mõjutada. Leidsime, et näiteks rakenduste automaatse täitmise funktsioone võidi kuritarvitada, et varastada paroolide halduri rakendusest salvestatud saladusi, kasutades varjatud andmepüügi rünnakuid. Veebilehtedel paroolivormide automaatse täitmise paremaks toetamiseks pakuvad mõned rakendused oma veebibrauserit. Need brauserid on täiendav turvaaukude, näiteks privaatsuse leke, allikas.

Nüüd sina : Kas kasutate paroolihalduri rakendust? (kaudu Häkkerite uudised )