Težave z varnostjo najdemo v devetih upraviteljih gesel za Android (LastPass, Dashlane ..)

• Kategorija: Varnost

Preizkusite Naš Instrument Za Odpravo Težav

Izberite Operacijski Sistem Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Izberite Program Projekcije (Neobvezno) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Opišite Svoj Problem

Pridobite Odgovor

Pošljite Me Po E -Pošti Pokaži Na Spletnem Mestu

Varnostni raziskovalci inštituta Fraunhofer so v devetih upravljalcih gesel za Android našli resne varnostne težave, ki so jih analizirali v okviru svojih raziskav.

Upravitelji gesel so priljubljena možnost za shranjevanje podatkov za preverjanje pristnosti. Vsi obljubljajo varno shranjevanje lokalno ali na daljavo, nekatere pa lahko v kombinacijo dodajo še druge funkcije, kot so geslo, samodejna prijava ali shranjevanje pomembnih podatkov, kot so številke kreditnih kartic ali zatiči.

Nedavna študija inštituta Fraunhofer je z varnostnega vidika na skrbnike Googlovega operacijskega sistema Android pogledala devet upravljalcev gesel. Raziskovalci so analizirali naslednje upravljalce gesel: LastPass, 1Password, Moja gesla, Upravitelj gesel Dashlane, Upravitelj gesel Informaticore, F-Secure KEY, Keepsafe, Keeper in Avast Password.

Nekatere aplikacije imajo več kot 50 milijonov inštalacij, vse pa vsaj 100.000.

Upravitelji gesel za varnostno analizo Android

Zaključek ekipe bi moral zaskrbeti vsakogar, ki izvaja Android upravitelja gesel. Čeprav ni jasno, ali imajo tudi druge aplikacije za upravljanje gesel za Android ranljivosti, obstaja vsaj možnost, da je res tako.

Skupni rezultati so bili zelo zaskrbljujoči in razkrili so, da aplikacije za upravljanje gesel kljub trditvam ne zagotavljajo dovolj zaščitnih mehanizmov za shranjena gesla in poverilnice. Namesto tega zlorabljajo zaupanje uporabnikov in jih izpostavljajo velikim tveganjem.

Vsaj ena varnostna ranljivost je bila ugotovljena v vsaki od aplikacij, ki so jih raziskovalci analizirali. To je šlo tako, da so nekatere aplikacije shranile glavni ključ v navadnem besedilu, druge pa s trdo kodiranimi kriptografskimi ključi v kodi. V drugem primeru je namestitev preproste pomočne aplikacije izvlekla gesla, ki jih je shranila aplikacija za geslo.

Tri ranljivosti so bile ugotovljene samo v LastPassu. Najprej trdo kodiran glavni ključ, nato puščanje podatkov pri iskanju brskalnika in nazadnje ranljivost, ki vpliva na LastPass v sistemu Android 4.0.x in nižje, kar napadalcem omogoča, da ukradejo shranjeno glavno geslo.

• SIK-2016-022: Trdi kodirani glavni ključ v LastPass Password Manager
• SIK-2016-023: Zasebnost, uhajanje podatkov v iskanju brskalnika LastPass
• SIK-2016-024: Preberite zasebni datum (Shranjeni glavni lozinki) iz LastPass Password Manager

V Dashlaneu, drugi priljubljeni aplikaciji za upravljanje gesel, so bile prepoznane štiri ranljivosti. Te ranljivosti so napadalcem omogočile branje zasebnih podatkov iz mape z aplikacijami, zlorabo puščanja informacij in izvedbo napada za pridobivanje glavnega gesla.

• SIK-2016-028: v aplikaciji Dashlane Password Manager preberite zasebne podatke iz mape z aplikacijami
• SIK-2016-029: Puščanje informacij o Googlovem iskanju v brskalniku Dashlane Password Manager
• SIK-2016-030: Ostanki napada Izvlečejo glavno besedo iz upravitelja gesla Dashlane
• SIK-2016-031: puščanje poddomena v brskalniku Internal Dashlane Password Manager

Priljubljena aplikacija 1Password štiri Android je imela pet ranljivosti, vključno s težavami z zasebnostjo in puščanjem gesla.

• SIK-2016-038: puščanje gesla poddomena v notranjem brskalniku 1Password
• SIK-2016-039: Https znižanje na http URL privzeto v 1Password Internal Browser
• SIK-2016-040: Naslovi in ​​URL-ji niso šifrirani v 1Password Database
• SIK-2016-041: preberite zasebne podatke iz mape z aplikacijami v 1Password Manager
• SIK-2016-042: izdaja zasebnosti, podatki so prepuščeni prodajalcu 1Password Manager

Lahko preverite celoten seznam aplikacij analizirali in ranljivosti na spletni strani Inštituta Fraunhofer.

Opomba : Vse razkrite ranljivosti so določile družbe, ki razvijajo aplikacije. Nekateri popravki so še v razvoju. Priporočamo, da aplikacije posodobite čim prej, če jih zaženete na svojih mobilnih napravah.

Zaključek raziskovalne skupine je zelo uničujoč:

Čeprav to kaže, da so tudi najosnovnejše funkcije upravitelja gesel pogosto ranljive, te aplikacije zagotavljajo tudi dodatne funkcije, ki lahko znova vplivajo na varnost. Ugotovili smo, da se lahko na primer funkcije samodejnega izpolnjevanja aplikacij zlorabljajo za krajo shranjenih skrivnosti iz aplikacije za upravljanje gesel z napadi 'skritega lažnega predstavljanja'. Za boljšo podporo obrazcem za samodejno polnjenje gesel na spletnih straneh nekatere aplikacije ponujajo lastne spletne brskalnike. Ti brskalniki so dodaten vir ranljivosti, kot je uhajanje zasebnosti.

Zdaj pa ti : Ali uporabljate program za upravljanje gesla? (prek Hakerske novice )