Säkerhetsproblem som finns i nio lösenordshanterare för Android (LastPass, Dashlane ..)

Säkerhetsforskare från Fraunhofer Institute fann allvarliga säkerhetsproblem i nio lösenordshanterare för Android som de analyserade som en del av sin forskning.

Lösenordshanterare är ett populärt alternativ när det gäller lagring av autentiseringsinformation. Alla lovar säker lagring antingen lokalt eller på distans, och vissa kan lägga till andra funktioner i blandningen, t.ex. lösenordgenerering, automatiska inloggningar eller spara viktiga data som kreditkortsnummer eller stift.

En ny studie från Fraunhofer Institute tittade på nio lösenordshanterare för Googles Android-operativsystem ur säkerhetssynpunkt. Forskarna analyserade följande lösenordshanterare: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticores Password Manager, F-Secure KEY, Keepsafe, Keeper och Avast-lösenord.

Vissa av apparna har mer än 50 miljoner installationer, och alla minst 100 000 installationer.

Lösenordshanterare på Android-säkerhetsanalys

Teamets slutsats borde ha någon oro som implementerar en lösenordshanterare på Android. Det är oklart om andra lösenordshanteringsapplikationer för Android också har sårbarheter, men det finns åtminstone en chans att så är fallet.

De totala resultaten var extremt oroande och avslöjade att lösenordshanteringsapplikationer, trots deras påståenden, inte tillhandahåller tillräckliga skyddsmekanismer för lagrade lösenord och referenser. Istället missbrukar de användarnas förtroende och utsätter dem för höga risker.

Åtminstone en säkerhetssårbarhet identifierades i var och en av apparna som forskarna analyserade. Detta gick så långt som vissa applikationer som lagrade huvudnyckeln i vanlig text, och andra med hårkodade kryptografiska nycklar i kod. I ett annat fall extraherade installationen av en enkel hjälpprogram lösenord lagrade av lösenordsapplikationen.

Tre sårbarheter identifierades endast i LastPass. Först en hårkodad huvudnyckel, sedan läcker data i webbläsarsökning och slutligen en sårbarhet som påverkar LastPass på Android 4.0.x och lägre vilket gör det möjligt för angripare att stjäla det lagrade huvudlösenordet.

  • SIK-2016-022: Hårdkodad huvudnyckel i LastPass Password Manager
  • SIK-2016-023: Sekretess, dataläckage i LastPass webbläsarsökning
  • SIK-2016-024: Läs privat datum (lagrat masterpassword) från LastPass Password Manager

Fyra sårbarheter identifierades i Dashlane, ett annat populärt lösenordshanteringsprogram. Dessa sårbarheter gjorde det möjligt för angripare att läsa privat data från appmappen, missbruka informationsläckor och köra en attack för att extrahera huvudlösenordet.

  • SIK-2016-028: Läs privata data från appmapp i Dashlane Password Manager
  • SIK-2016-029: Google Search Information Leakage in Dashlane Password Manager Browser
  • SIK-2016-030: Residue Attack Extracting Masterpassword från Dashlane Password Manager
  • SIK-2016-031: Läckage av underdomänslösenord i webbläsaren för intern lösenordshanterare

Den populära 1Password-applikationen fyra Android hade fem sårbarheter inklusive privata problem och lösenordsläckning.

  • SIK-2016-038: Läckage av underdomänslösenord i interna webbläsare för 1-passord
  • SIK-2016-039: Https nedgraderas till http URL som standard i 1Password Intern webbläsare
  • SIK-2016-040: Titlar och URL: er inte krypterade i 1Password-databas
  • SIK-2016-041: Läs privata data från appmapp i 1Password Manager
  • SIK-2016-042: Sekretessproblem, information läckt till leverantör 1Password Manager

Du kan kolla in den fullständiga listan över analyserade appar och sårbarheter på Fraunhofer Institute-webbplatsen.

Obs : Alla avslöjade sårbarheter har åtgärdats av företagen som utvecklar applikationerna. Vissa korrigeringar är fortfarande under utveckling. Det rekommenderas att du uppdaterar applikationerna så snart som möjligt om du kör dem på dina mobila enheter.

Slutsatsen från forskarteamet är ganska förödande:

Även om detta visar att även de mest grundläggande funktionerna i en lösenordshanterare ofta är sårbara, ger dessa appar också ytterligare funktioner, som återigen kan påverka säkerheten. Vi fann att till exempel, autofyllningsfunktioner för applikationer skulle kunna missbrukas för att stjäla de lagrade hemligheterna från lösenordshanteringsapplikationen med "dolda phishing" -attacker. För ett bättre stöd för att automatiskt fylla lösenordsformulär på webbsidor tillhandahåller några av applikationerna sina egna webbläsare. Dessa webbläsare är en ytterligare källa till sårbarheter, t.ex. integritetsläckage.

Nu du : Använder du ett lösenordshanteringsprogram? (via The Hacker News)