Turvaprobleemid leiti üheksas Androidi paroolihalduris (LastPass, Dashlane ..)

Fraunhoferi instituudi turvateadlased leidsid üheksale Androidi paroolihaldurile tõsiseid turvaprobleeme, mida nad oma uurimistöö osana analüüsisid.

Paroolide haldurid on autentimisinfo salvestamise puhul populaarne valik. Kõik lubavad turvalist ladustamist kas kohapeal või kaugjuhtimisega ning mõned võivad segule lisada muid funktsioone, näiteks paroolide loomine, automaatsed sisselogimised või oluliste andmete, näiteks krediitkaardinumbrite või nööpnõelte salvestamine.

Fraunhoferi instituudi hiljutises uuringus vaadeldi turvalisuse aspektist üheksa Google'i Androidi opsüsteemi paroolihaldurit. Teadlased analüüsisid järgmisi paroolide haldajaid: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper ja Avast Paroolid.

Mõnes rakenduses on rohkem kui 50 miljonit installimist ja kõigis vähemalt 100 000 installimist.

Paroolihaldurid Androidi turbeanalüüsis

Meeskonna järelduses peaks olema keegi, kes muretseb, kes Androidis paroolide halduri juurutab. Kuigi pole selge, kas ka teistes Androidi paroolihalduri rakendustes on turvaauke, on vähemalt võimalus, et see tõepoolest nii on.

Üldised tulemused olid äärmiselt murettekitavad ja näitasid, et paroolide halduri rakendused, hoolimata nende väidetest, ei paku salvestatud paroolide ja mandaatide jaoks piisavalt kaitsemehhanisme. Selle asemel kuritarvitavad nad kasutajate usaldust ja seovad neid suure riskiga.

Igas teadlaste analüüsitud rakenduses tuvastati vähemalt üks turvaauk. See läks nii kaugele, et mõned rakendused säilitasid põhivõtme lihttekstina ja teised kõvas koodis krüptograafilisi võtmeid koodis. Teisel juhul eraldas lihtsa abistajarakenduse installimine paroolirakenduse salvestatud paroolid.

Ainuüksi LastPassis tuvastati kolm haavatavust. Esiteks kõva kodeeringuga põhivõti, seejärel andmete lekked brauseri otsingus ja lõpuks haavatavus, mis mõjutab LastPassi Android 4.0.x ja madalamates versioonides, mis võimaldab ründajatel varastada salvestatud põhiparooli.

  • SIK-2016-022: kõvakodeeritud põhivõti LastPassi paroolide halduris
  • SIK-2016-023: Privaatsus, andmete lekkimine brauseri LastPass otsingus
  • SIK-2016-024: lugege erasektori kuupäeva (salvestatud parool) rakendusest LastPass Password Manager

Teises populaarses paroolide halduri rakenduses Dashlane tuvastati neli haavatavust. Need haavatavused võimaldasid ründajatel rakenduse kaustast privaatseid andmeid lugeda, teabe lekkeid kuritarvitada ja peaparooli väljavõtmiseks rünnata.

  • SIK-2016-028: lugege privaatseid andmeid rakenduse kaustast Dashlase'i paroolihalduris
  • SIK-2016-029: Google'i otsingu teabe leke Dashlase'i paroolihalduri brauseris
  • SIK-2016-030: jääkide rünnak, parooli kaevandamine Dashlase'i paroolide haldurist
  • SIK-2016-031: Alamdomeeni parooli leke sisemise juhtpaneeli paroolide halduri brauseris

Populaarsel rakendusel 1Password oli neljal Androidil viis turvaauku, sealhulgas privaatsusprobleemid ja parooli lekkimine.

  • SIK-2016-038: alamdomeeni parooli leke 1-parooli sisemises brauseris
  • SIK-2016-039: Https alandab 1Password sisemises brauseris vaikimisi http URL-i
  • SIK-2016-040: Pealkirjad ja URL-id, mis pole 1 parooliandmebaasis krüptitud
  • SIK-2016-041: lugege rakenduse kausta privaatseid andmeid rakenduses 1Password Manager
  • SIK-2016-042: privaatsuseprobleem, teave on levitatud müüjale 1Paroolide haldur

Fraunhoferi instituudi veebisaidil saate tutvuda analüüsitud rakenduste täieliku loendi ja turvaaukudega.

Märkus . Kõik avalikustatud haavatavused on parandanud rakendusi arendavad ettevõtted. Mõned parandused on alles väljatöötamisel. Kui kasutate neid oma mobiilseadmetes, on soovitatav rakendusi võimalikult kiiresti värskendada.

Uurimisrühma järeldused on üsna laastavad:

Kuigi see näitab, et isegi paroolide halduri kõige põhifunktsioonid on sageli haavatavad, pakuvad need rakendused ka lisafunktsioone, mis võivad jällegi turvalisust mõjutada. Leidsime, et näiteks rakenduste automaatse täitmise funktsioone võidakse kuritarvitada, et varastada paroolide halduri rakendusest salvestatud saladusi, kasutades varjatud andmepüügi rünnakuid. Veebilehtedel paroolivormide automaatse täitmise paremaks toetamiseks pakuvad mõned rakendused oma veebibrauserit. Need brauserid on täiendav turvaaukude, näiteks privaatsuse leke, allikas.

Nüüd sina : kas kasutad paroolihalduri rakendust? (Hacker Newsi kaudu)