Fraunhofera institūta drošības pētnieki deviņos Android ierīču paroļu pārvaldniekos atrada nopietnas drošības problēmas, kuras viņi analizēja kā daļu no sava pētījuma.
Paroles pārvaldnieki ir populāra opcija autentifikācijas informācijas glabāšanai. Visi sola drošu glabāšanu lokāli vai attālināti, un daži var pievienot sajaukumam citas funkcijas, piemēram, paroļu ģenerēšanu, automātiskas pierakstīšanās vai svarīgu datu, piemēram, kredītkaršu numuru vai piespraudes, saglabāšanu.
Nesenā Fraunhofera institūta pētījumā tika apskatīti deviņi paroles pārvaldnieki Google Android operētājsistēmai no drošības viedokļa. Pētnieki analizēja šādus paroļu pārvaldniekus: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper un Avast paroles.
Dažās lietotnēs ir vairāk nekā 50 miljoni instalāciju, un visās vismaz 100 000 instalāciju.
Paroļu pārvaldnieki Android drošības analīzē
Komandas secinājumam vajadzētu uztraukties ikvienam, kurš Android ierīcē ievada paroļu pārvaldnieku. Lai gan nav skaidrs, vai citām Android ierīču paroļu pārvaldnieku lietojumprogrammām ir arī ievainojamības, vismaz pastāv iespēja, ka tas tā ir.
Kopējie rezultāti bija ārkārtīgi satraucoši un atklāja, ka paroļu pārvaldnieka lietojumprogrammas, neskatoties uz viņu apgalvojumiem, nenodrošina pietiekami daudz saglabāto paroļu un akreditācijas datu aizsardzības mehānismu. Tā vietā viņi ļaunprātīgi izmanto lietotāju uzticību un pakļauj viņus augstam riskam.
Katrā no lietotnēm, kuras pētnieki analizēja, tika identificēta vismaz viena drošības ievainojamība. Tas notika tiktāl, cik dažās lietojumprogrammās galvenā atslēga tiek glabāta vienkāršā tekstā, bet citās - kodē kodētas šifrēšanas atslēgas. Citā gadījumā vienkāršas palīgprogrammas instalēšana ieguva paroles, kuras glabā paroles lietojumprogramma.
Tikai LastPass tika identificētas trīs ievainojamības. Vispirms cieši kodētu galveno atslēgu, pēc tam datu noplūdi pārlūkprogrammas meklēšanā un visbeidzot ievainojamību, kas ietekmē LastPass operētājsistēmas Android 4.0.x un vecākās versijās, kas ļauj uzbrucējiem nozagt saglabāto galveno paroli.
- SIK-2016-022: cietās kodēšanas galvenā atslēga LastPass paroli pārvaldniekā
- SIK-2016-023: privātums, datu noplūde pārlūka LastPass meklēšanā
- SIK-2016-024: lasiet privāto datumu (saglabāts galvenais parole) no LastPass paroli pārvaldnieka
Citā populārā paroļu pārvaldnieka lietojumprogrammā Dashlane tika identificētas četras ievainojamības. Šīs ievainojamības ļāva uzbrucējiem lasīt privātus datus no lietotņu mapes, ļaunprātīgas informācijas noplūdi un veikt uzbrukumu, lai iegūtu galveno paroli.
- SIK-2016-028: lasiet privātos datus no lietotnes mapes Dašlana paroļu pārvaldniekā
- SIK-2016-029: Google meklēšanas informācijas noplūde Dašlāna paroles pārvaldnieka pārlūkā
- SIK-2016-030: Atlikumu lēkme, iegūstot galveno paroli no Dashlane paroli pārvaldnieka
- SIK-2016-031: Apakšdomēna paroles noplūde iekšējā informācijas paneļa paroles pārvaldnieka pārlūkā
Tautas populārajā lietojumprogrammā 1Password četrām Android ierīcēm bija piecas ievainojamības, ieskaitot slepenības problēmas un paroles noplūdi.
- SIK-2016-038: apakšdomēna paroles noplūde 1 paroles iekšējā pārlūkā
- SIK-2016-039: 1Password iekšējā pārlūkā pēc noklusējuma ir pazemināta uz http URL
- SIK-2016-040: Virsraksti un vietrāži URL, kas nav šifrēti 1Paroles datu bāzē
- SIK-2016-041: lasiet privātos datus no lietotnes mapes 1Password Manager
- SIK-2016-042: konfidencialitātes problēma, informācija noplūda pārdevējam 1Password Manager
Ar pilnu analizēto lietotņu sarakstu un ievainojamību varat iepazīties Fraunhofer institūta vietnē.
Piezīme . Visas atklātās ievainojamības ir novērsuši uzņēmumi, kas izstrādā programmas. Daži labojumi joprojām tiek izstrādāti. Ieteicams pēc iespējas ātrāk atjaunināt lietojumprogrammas, ja tās darbināt mobilajās ierīcēs.
Pētnieku grupas secinājums ir diezgan postošs:
Lai gan tas parāda, ka pat paroļu pārvaldnieka pamata funkcijas bieži ir neaizsargātas, šīs lietotnes nodrošina arī papildu funkcijas, kas atkal var ietekmēt drošību. Mēs noskaidrojām, ka, piemēram, var tikt ļaunprātīgi izmantotas programmu automātiskās aizpildīšanas funkcijas, lai nozagtu saglabātos noslēpumus no paroļu pārvaldnieka lietojumprogrammas, izmantojot “slēptos pikšķerēšanas” uzbrukumus. Lai labāk atbalstītu paroļu veidlapu automātisku aizpildīšanu Web lapās, dažas no lietojumprogrammām nodrošina savas tīmekļa pārlūkprogrammas. Šīs pārlūkprogrammas ir papildu neaizsargātības avots, piemēram, privātuma noplūde.
Tagad jūs : vai jūs izmantojat paroļu pārvaldnieka lietojumprogrammu? (caur The Hacker News)
