„Fraunhofer“ instituto saugumo tyrinėtojai nustatė rimtas saugumo problemas devyniose „Android“ slaptažodžių tvarkyklėse, kurias jie analizavo kaip savo tyrimo dalį.
Slaptažodžio tvarkytojai yra populiari parinktis, kai reikia saugoti autentifikavimo informaciją. Visi žada saugų saugojimą vietoje arba nuotoliniu būdu, o kai kurios gali papildyti kitas funkcijas, tokias kaip slaptažodžių generavimas, automatiniai prisijungimai ar svarbių duomenų, tokių kaip kreditinės kortelės numeriai ar kontaktai, išsaugojimas.
Neseniai Fraunhoferio instituto atliktame tyrime saugumo požiūriu buvo apžvelgti devyni „Google“ „Android“ operacinės sistemos slaptažodžių tvarkytojai. Tyrėjai išanalizavo šiuos slaptažodžių tvarkytojus: „LastPass“, „1Password“, „Mano slaptažodžiai“, „Dashlane“ slaptažodžių tvarkyklė, „Informaticore“ slaptažodžių tvarkyklė, „F-Secure KEY“, „Keepsafe“, „Keeper“ ir „Avast“ slaptažodžiai.
Kai kuriose programose įdiegta daugiau nei 50 milijonų, o visose - bent 100 000.
Slaptažodžio valdytojai „Android“ saugos analizėje
Komandos išvadoje turėtų būti kas jaudintis, kas įdiegia slaptažodžių tvarkyklę „Android“. Nors neaišku, ar kitos „Android“ slaptažodžio tvarkyklės programos taip pat turi pažeidžiamumų, yra bent jau tikimybė, kad taip yra.
Bendri rezultatai buvo ypač nerimą keliantys ir atskleidė, kad slaptažodžių tvarkyklės programos, nepaisant jų teiginių, nepateikia pakankamai saugomų slaptažodžių ir kredencialų apsaugos mechanizmų. Vietoj to jie piktnaudžiauja vartotojų pasitikėjimu ir kelia jiems didelę riziką.
Kiekvienoje iš tyrėjų analizuotų programų buvo nustatytas bent vienas saugos pažeidžiamumas. Tai nutiko tiek, kiek kai kurios programos pagrindinį raktą saugojo paprastu tekstu, o kitos - naudodamos kodinius kriptografinius raktus. Kitu atveju įdiegus paprastą pagalbinę programą buvo išskleisti slaptažodžiai, kuriuos saugojo slaptažodžio programa.
Vien „LastPass“ buvo nustatyti trys pažeidžiamumai. Pirmiausia sunkiai užkoduotas pagrindinis raktas, po to duomenų nutekėjimas naršyklės paieškoje ir galiausiai pažeidžiamumas, turintis įtakos „LastPass“ „Android 4.0.x“ ir naujesnėms versijoms, leidžianti užpuolikams pavogti išsaugotą pagrindinį slaptažodį.
- SIK-2016-022: „HardPod“ pagrindinis raktas „LastPass“ slaptažodžių tvarkytuvėje
- SIK-2016-023: Privatumas, duomenų nutekėjimas „LastPass“ naršyklės paieškoje
- SIK-2016-024: Perskaitykite asmeninę datą (išsaugotas pagrindinis slaptažodis) iš „LastPass“ slaptažodžio tvarkyklės
„Dashlane“, kitoje populiarioje slaptažodžių tvarkyklės programoje, buvo nustatyti keturi pažeidžiamumai. Dėl šių pažeidžiamumų užpuolikai galėjo perskaityti asmeninius duomenis iš programos aplanko, piktnaudžiauti informacija ir paleisti pagrindinį slaptažodį.
- SIK-2016-028: skaitykite asmeninius duomenis iš programos aplanko „Dashlane“ slaptažodžio tvarkytuvėje
- SIK-2016-029: „Google“ paieškos informacijos nutekėjimas „Dashlane“ slaptažodžio tvarkyklės naršyklėje
- SIK-2016-030: likučių priedas, išgaunantis pagrindinį slaptažodį iš „Dashlane“ slaptažodžio tvarkyklės
- SIK-2016-031: Padomenio slaptažodžio nutekėjimas vidinėje „Dashlane“ slaptažodžio tvarkyklės naršyklėje
Populiariojoje „1Password“ programoje keturi „Android“ turėjo penkias spragas, įskaitant slaptumo problemas ir slaptažodžių nutekėjimą.
- SIK-2016-038: potinklio slaptažodžio nutekėjimas vidiniame 1 „slaptažodžio“ naršyklėje
- SIK-2016-039: Pagal numatytuosius nustatymus „1Password“ vidinėje naršyklėje atsinaujina iki http URL
- SIK-2016-040: Pavadinimai ir URL neužšifruoti „1Password“ duomenų bazėje
- SIK-2016-041: skaitykite asmeninius duomenis iš programos aplanko „1Password Manager“
- SIK-2016-042: Privatumo klausimas, informacija nutekėjo „1Password Manager“ pardavėjui
Išsamų analizuotų programų sąrašą ir pažeidžiamumus galite sužinoti „Fraunhofer“ instituto svetainėje.
Pastaba : visas atskleistas spragas ištaisė programas plėtojančios įmonės. Kai kurie pataisymai vis dar plėtojami. Rekomenduojama kuo greičiau atnaujinti programas, jei jas paleisite savo mobiliuosiuose įrenginiuose.
Tyrėjų komandos išvada yra gana niokojama:
Nors tai rodo, kad dažnai pažeidžiamos net pagrindinės slaptažodžių tvarkyklės funkcijos, šios programos taip pat teikia papildomų funkcijų, kurios, vėlgi, gali paveikti saugumą. Mes nustatėme, kad, pavyzdžiui, gali būti piktnaudžiaujama programų automatinio užpildymo funkcijomis, kad būtų galima pavogti išsaugotas paslaptis iš slaptažodžių tvarkyklės programos, naudojant „paslėptas sukčiavimo“ atakas. Norėdami geriau palaikyti automatinį slaptažodžių formų pildymą tinklalapiuose, kai kurios programos teikia savo interneto naršykles. Šios naršyklės yra papildomas pažeidžiamumų, tokių kaip privatumo nutekėjimas, šaltinis.
Dabar jūs : Ar naudojatės slaptažodžių tvarkyklės programa? (per „Hacker News“)