Sikkerhedsforskere fra Fraunhofer Institute fandt alvorlige sikkerhedsproblemer i ni adgangskodeadministratorer til Android, som de analyserede som en del af deres forskning.
Adgangskodeadministratorer er en populær mulighed, når det kommer til lagring af godkendelsesoplysninger. Alle lover sikker opbevaring enten lokalt eller eksternt, og nogle kan tilføje andre funktioner til blandingen, såsom adgangskodegenerering, automatiske tilmeldinger eller gemning af vigtige data, såsom kreditkortnumre eller pins.
En nylig undersøgelse fra Fraunhofer Institute kiggede på ni passwordadministratorer til Googles Android-operativsystem fra et sikkerhedsmæssigt synspunkt. Forskerne analyserede følgende adgangskodeadministratorer: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper og Avast Adgangskoder.
Nogle af apps har mere end 50 millioner installationer, og alle mindst 100.000 installationer.
Adgangskodeadministratorer på Android-sikkerhedsanalyse
Holdets konklusion skulle have nogen bekymret, der implementerer en password manager på Android. Selvom det er uklart, om andre password manager-applikationer til Android også har sårbarheder, er der i det mindste en chance for, at dette faktisk er tilfældet.
De samlede resultater var ekstremt foruroligende og afslørede, at applikationer med adgangskodeadministrator til trods for deres påstande ikke giver tilstrækkelige beskyttelsesmekanismer til de gemte adgangskoder og legitimationsoplysninger. I stedet misbruger de brugernes tillid og udsætter dem for høje risici.
Mindst en sikkerhedssårbarhed blev identificeret i hver af de apps, som forskerne analyserede. Dette gik så vidt som nogle applikationer, der lagrede hovednøglen i almindelig tekst, og andre ved hjælp af hardkodede kryptografiske nøgler i kode. I et andet tilfælde ekstraherede installationen af et simpelt hjælperprogram de adgangskoder, der er gemt af adgangskodeprogrammet.
Tre sårbarheder blev identificeret i LastPass alene. Først en hårdkodet hovednøgle, derefter lækker data i browsersøgning og til sidst en sårbarhed, der påvirker LastPass på Android 4.0.x og lavere, hvilket giver angribere mulighed for at stjæle den gemte masteradgangskode.
- SIK-2016-022: Hardkodet masternøgle i LastPass Password Manager
- SIK-2016-023: Privatliv, datalækage i LastPass Browser Search
- SIK-2016-024: Læs privat dato (gemt masterpassword) fra LastPass Password Manager
Fire sårbarheder blev identificeret i Dashlane, et andet populært password manager-program. Disse sårbarheder gjorde det muligt for angribere at læse private data fra appmappen, misbruge informations lækager og køre et angreb for at udtrække hovedadgangskoden.
- SIK-2016-028: Læs private data fra appmappe i Dashlane Password Manager
- SIK-2016-029: Google Search Information Lækage i Dashlane Password Manager Browser
- SIK-2016-030: Residue Attack Extracting Masterpassword Fra Dashlane Password Manager
- SIK-2016-031: Subdomæne adgangskodelækage i intern Dashlane Password Manager-browser
Den populære 1Password-applikation fire Android havde fem sårbarheder, herunder problemer med privatliv og lækker adgangskode.
- SIK-2016-038: Subdomæne adgangskodelækage i 1Password-intern browser
- SIK-2016-039: Https nedgraderes til http URL som standard i 1Password intern browser
- SIK-2016-040: Titler og URL'er er ikke krypteret i 1Password-database
- SIK-2016-041: Læs private data fra appmappe i 1Password Manager
- SIK-2016-042: Privatlivsproblemer, information lækket til leverandør 1Password Manager
Du kan se den fulde liste over analyserede apps og sårbarhederne på Fraunhofer Institute-webstedet.
Bemærk : Alle afslørede sårbarheder er rettet af de virksomheder, der udvikler applikationerne. Nogle rettelser er stadig under udvikling. Det anbefales, at du opdaterer applikationerne så hurtigt som muligt, hvis du kører dem på dine mobile enheder.
Konklusionen fra forskerteamet er ganske ødelæggende:
Selvom dette viser, at selv de mest basale funktioner i en adgangskodemanager ofte er sårbare, giver disse apps også yderligere funktioner, som igen kan påvirke sikkerheden. Vi fandt, at for eksempel auto-fill-funktioner til applikationer kunne misbruges for at stjæle de lagrede hemmeligheder fra password manager-applikationen ved hjælp af "skjult phishing" -angreb. For en bedre understøttelse af automatisk udfyldning af adgangskodeformer på websider giver nogle af applikationerne deres egne webbrowsere. Disse browsere er en ekstra kilde til sårbarheder, såsom lækage af privatlivets fred.
Nu du : Bruger du et password manager-program? (via The Hacker News)
