Drošības problēmas, kas atrastas deviņos Android ierīču paroļu pārvaldniekos (LastPass, Dashlane ..)

• Kategorija: Drošība

Izmēģiniet Mūsu Instrumentu Problēmu Novēršanai

Atlasiet Operētājsistēmu Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Izvēlieties Projekcijas Programmu (Pēc Izvēles) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Aprakstiet Savu Problēmu

Saņemt Atbildi

Atsūti Mani Pa E -Pastu Rādīt Vietnē

Fraunhofera institūta drošības pētnieki deviņos Android ierīču paroļu pārvaldniekos atrada nopietnas drošības problēmas, kuras viņi analizēja kā daļu no sava pētījuma.

Paroles pārvaldnieki ir populāra opcija autentifikācijas informācijas glabāšanai. Visi sola drošu glabāšanu lokāli vai attālināti, un daži var pievienot sajaukumam citas funkcijas, piemēram, paroļu ģenerēšanu, automātiskas pierakstīšanās vai svarīgu datu, piemēram, kredītkaršu numuru vai piespraudes, saglabāšanu.

Nesenā Fraunhofera institūta pētījumā tika apskatīti deviņi paroles pārvaldnieki Google operētājsistēmai Android no drošības viedokļa. Pētnieki analizēja šādus paroļu pārvaldniekus: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper un Avast paroles.

Dažās lietotnēs ir vairāk nekā 50 miljoni instalāciju, un visās vismaz 100 000 instalāciju.

Paroļu pārvaldnieki Android drošības analīzē

Komandas secinājumam vajadzētu uztraukties ikvienam, kurš Android ierīcē ievada paroļu pārvaldnieku. Lai gan nav skaidrs, vai citām Android paroļu pārvaldnieka lietojumprogrammām ir arī ievainojamības, vismaz pastāv iespēja, ka tas tā ir.

Kopējie rezultāti bija ārkārtīgi satraucoši un atklāja, ka paroļu pārvaldnieka lietojumprogrammas, neskatoties uz viņu apgalvojumiem, nenodrošina pietiekamus saglabāto paroļu un akreditācijas datu aizsardzības mehānismus. Tā vietā viņi ļaunprātīgi izmanto lietotāju uzticību un pakļauj tos lielam riskam.

Katrā no lietotnēm, kuras pētnieki analizēja, tika identificēta vismaz viena drošības ievainojamība. Tas notika tiktāl, ka dažas lietojumprogrammas glabā galveno atslēgu vienkāršā tekstā, bet citas lieto kodā kodētas šifrēšanas atslēgas. Citā gadījumā vienkāršas palīgprogrammas instalēšana ieguva paroles, kuras glabāja paroles lietojumprogramma.

Tikai LastPass tika identificētas trīs ievainojamības. Vispirms cieši kodētu galveno atslēgu, pēc tam datu noplūdi pārlūkprogrammas meklēšanā un visbeidzot ievainojamību, kas ietekmē LastPass operētājsistēmas Android 4.0.x un vecākās versijās, kas ļauj uzbrucējiem nozagt saglabāto galveno paroli.

• SIK-2016-022: cietās kodēšanas galvenā atslēga LastPass paroli pārvaldniekā
• SIK-2016-023: privātums, datu noplūde pārlūka LastPass meklēšanā
• SIK-2016-024: lasiet privāto datumu (saglabāts galvenais parole) no LastPass paroļu pārvaldnieka

Citā populārā paroļu pārvaldnieka lietojumprogrammā Dashlane tika identificētas četras ievainojamības. Šīs ievainojamības ļāva uzbrucējiem lasīt privātus datus no lietotņu mapes, ļaunprātīgas informācijas noplūdi un veikt uzbrukumu, lai iegūtu galveno paroli.

• SIK-2016-028: lasiet privātos datus no lietotnes mapes Dašlana paroļu pārvaldniekā
• SIK-2016-029: Google meklēšanas informācijas noplūde Dašlana paroles pārvaldnieka pārlūkā
• SIK-2016-030: Atlikumu lēkme, iegūstot galveno paroli no Dashlane paroli pārvaldnieka
• SIK-2016-031: apakšdomēna paroles noplūde iekšējā informācijas paneļa paroles pārvaldnieka pārlūkā

Populārajā lietojumprogrammā 1Password četrām Android ierīcēm bija piecas ievainojamības, ieskaitot slepenības problēmas un paroles noplūdi.

• SIK-2016-038: apakšdomēna paroles noplūde 1Paroles iekšējā pārlūkā
• SIK-2016-039: 1Password iekšējā pārlūkā pēc noklusējuma tiek pazemināta uz http URL
• SIK-2016-040: Virsraksti un URL, kas nav šifrēti 1Password datu bāzē
• SIK-2016-041: lasiet privātos datus no lietotnes mapes 1Password Manager
• SIK-2016-042: konfidencialitātes problēma, informācija nolaista 1. pārdevēja paroles pārvaldniekam

Jūs varat pārbaudīt pilns lietotņu saraksts analizēta un ievainojamības Fraunhofer institūta vietnē.

Piezīme : Visas atklātās ievainojamības ir izlabojuši uzņēmumi, kas izstrādā lietojumprogrammas. Daži labojumi joprojām tiek izstrādāti. Ieteicams pēc iespējas ātrāk atjaunināt lietojumprogrammas, ja tās darbināt mobilajās ierīcēs.

Pētnieku grupas secinājums ir diezgan postošs:

Lai gan tas liecina, ka pat paroles pārvaldnieka pamata funkcijas bieži ir neaizsargātas, šīs lietotnes nodrošina arī papildu funkcijas, kas atkal var ietekmēt drošību. Mēs noskaidrojām, ka, piemēram, var tikt ļaunprātīgi izmantotas programmu automātiskās aizpildīšanas funkcijas, lai nozagtu saglabātos noslēpumus no paroļu pārvaldnieka lietojumprogrammas, izmantojot “slēptos pikšķerēšanas” uzbrukumus. Lai labāk atbalstītu paroļu veidlapu automātisku aizpildīšanu Web lapās, dažas no lietojumprogrammām nodrošina savas tīmekļa pārlūkprogrammas. Šīs pārlūkprogrammas ir papildu neaizsargātības avots, piemēram, privātuma noplūde.

Tagad Tu : Vai jūs izmantojat paroļu pārvaldnieka lietojumprogrammu? (caur Hakeru ziņas )