Sikkerhedsproblemer fundet i ni adgangskodeadministratorer til Android (LastPass, Dashlane ..)

• Kategori: Sikkerhed

Prøv Vores Instrument Til At Fjerne Problemer

Vælg Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vælg Et Projektionsprojekt (Valgfrit) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Dit Problem

Få Et Svar

Send Mig Via E -Mail Vis På Webstedet

Sikkerhedsforskere fra Fraunhofer Institute fandt alvorlige sikkerhedsproblemer i ni adgangskodeadministratorer til Android, som de analyserede som en del af deres forskning.

Adgangskodeadministratorer er en populær mulighed, når det kommer til lagring af godkendelsesoplysninger. Alle lover sikker opbevaring enten lokalt eller eksternt, og nogle kan tilføje andre funktioner til blandingen, såsom adgangskodegenerering, automatisk tilmelding eller gemning af vigtige data, såsom kreditkortnumre eller pins.

En nylig undersøgelse fra Fraunhofer Institute kiggede på ni passwordadministratorer til Googles Android-operativsystem fra et sikkerhedsmæssigt synspunkt. Forskerne analyserede følgende passwordadministratorer: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper og Avast Adgangskoder.

Nogle af apps har mere end 50 millioner installationer og alle mindst 100.000 installationer.

Adgangskodeadministratorer på Android-sikkerhedsanalyse

Holdets konklusion skulle have nogen bekymret, der implementerer en password manager på Android. Selvom det er uklart, om andre password manager-applikationer til Android også har sårbarheder, er der i det mindste en chance for, at dette faktisk er tilfældet.

De samlede resultater var ekstremt foruroligende og afslørede, at password manager-applikationer til trods for deres påstande ikke giver tilstrækkelige beskyttelsesmekanismer til de gemte adgangskoder og legitimationsoplysninger. I stedet misbruger de brugernes tillid og udsætter dem for høje risici.

Mindst en sikkerhedssårbarhed blev identificeret i hver af de apps, som forskerne analyserede. Dette gik så vidt som nogle applikationer, der lagrede hovednøglen i almindelig tekst, og andre ved hjælp af hardkodede kryptografiske nøgler i kode. I et andet tilfælde ekstraherede installationen af ​​en simpel hjælperapplikation de adgangskoder, der er gemt af adgangskodeprogrammet.

Tre sårbarheder blev identificeret i LastPass alene. Først en hårdkodet hovednøgle, derefter lækker data i browsersøgning og til sidst en sårbarhed, der påvirker LastPass på Android 4.0.x og lavere, hvilket giver angribere mulighed for at stjæle den gemte masteradgangskode.

• SIK-2016-022: Hardkodet masternøgle i LastPass Password Manager
• SIK-2016-023: Privatliv, datalækage i LastPass Browser Search
• SIK-2016-024: Læs privat dato (gemt masterpassword) fra LastPass Password Manager

Fire sårbarheder blev identificeret i Dashlane, et andet populært program til adgangskodehåndtering. Disse sårbarheder gjorde det muligt for angribere at læse private data fra appmappen, misbruge informations lækager og køre et angreb for at udtrække hovedadgangskoden.

• SIK-2016-028: Læs private data fra appmappe i Dashlane Password Manager
• SIK-2016-029: Google Search Information Lækage i Dashlane Password Manager Browser
• SIK-2016-030: Residue Attack Extracting Masterpassword Fra Dashlane Password Manager
• SIK-2016-031: Underdomæne adgangskodelækage i intern Dashlane Password Manager Browser

Den populære 1Password-applikation fire Android havde fem sårbarheder, herunder problemer med privatliv og adgangskode lækker.

• SIK-2016-038: Underdomæne adgangskodelækage i 1Password intern browser
• SIK-2016-039: Https nedgraderes til http URL som standard i 1Password intern browser
• SIK-2016-040: Titler og URL'er er ikke krypteret i 1Password-database
• SIK-2016-041: Læs private data fra appmappe i 1Password Manager
• SIK-2016-042: Privatlivsspørgsmål, information lækket til leverandør 1Password Manager

Du kan tjekke fuld liste over apps analyseret og sårbarhederne på Fraunhofer Institute-webstedet.

Bemærk : Alle afslørede sårbarheder er rettet af de virksomheder, der udvikler applikationerne. Nogle rettelser er stadig under udvikling. Det anbefales, at du opdaterer applikationerne så hurtigt som muligt, hvis du kører dem på dine mobile enheder.

Konklusionen fra forskerteamet er ganske ødelæggende:

Selvom dette viser, at selv de mest basale funktioner i en adgangskodeadministrator ofte er sårbare, giver disse apps også yderligere funktioner, som igen kan påvirke sikkerheden. Vi fandt, at for eksempel auto-fill-funktioner til applikationer kunne misbruges til at stjæle de lagrede hemmeligheder fra password manager-applikationen ved hjælp af 'skjult phishing' -angreb. For en bedre understøttelse af automatisk udfyldning af adgangskodeformer på websider giver nogle af applikationerne deres egne webbrowsere. Disse browsere er en yderligere kilde til sårbarheder, såsom lækage af privatlivets fred.

Din tur : Bruger du et password manager-program? (via The Hacker News )