mga tagapamahala ng android-password

Mga isyu sa seguridad na natagpuan sa siyam na tagapamahala ng password para sa Android (LastPass, Dashlane ..)

Ang mga mananaliksik ng seguridad ng Fraunhofer Institute ay natagpuang malubhang mga isyu sa seguridad sa siyam na tagapamahala ng password para sa Android na sinuri nila bilang bahagi ng kanilang pananaliksik.

Ang mga tagapamahala ng password ay isang popular na opsyon pagdating sa pag-iimbak ng impormasyon sa pagpapatunay. Ang lahat ng mga pangako ng secure na imbakan alinman sa lokal o malayo, at ang ilan ay maaaring magdagdag ng iba pang mga tampok sa halo tulad ng pagbuo ng password, awtomatikong pag-sign in, o pag-save ng mahalagang data tulad ng mga numero ng Credit Card o Pins.

Ang isang kamakailang pag-aaral ng Fraunhofer Institute ay tumingin sa siyam na tagapamahala ng password para sa Android operating system ng Google mula sa isang punto sa seguridad. Sinusuri ng mga mananaliksik ang mga sumusunod na mga tagapamahala ng password: LastPass, 1Password, Aking Mga Password, Dashlane Password Manager, Password Manager ng Informaticore, F-Secure KEY, Keepsafe, Tagabantay, at Avast Password.

Ang ilan sa mga apps ay may higit sa 50 milyong mga pag-install, at lahat ng hindi bababa sa 100,000 installation.

Tagapangasiwa ng Password sa pagtatasa ng seguridad sa Android

android password manager

Ang konklusyon ng koponan ay dapat na may nag-aalala na nagpapatupad ng isang tagapamahala ng password sa Android. Habang hindi malinaw kung ang iba pang mga application ng tagapamahala ng password para sa Android ay may mga kahinaan rin, mayroong hindi bababa sa isang pagkakataon na ito talaga ang kaso.

Ang pangkalahatang mga resulta ay sobrang nababahala at ipinahayag na ang mga application ng tagapamahala ng password, sa kabila ng kanilang mga claim, ay hindi nagbibigay ng sapat na mekanismo ng proteksyon para sa mga naka-imbak na mga password at mga kredensyal. Sa halip, abusuhin nila ang kumpiyansa ng mga gumagamit at ilantad ang mga ito sa mga mataas na panganib.

Hindi bababa sa isang kahinaan sa seguridad ang nakilala sa bawat isa sa mga apps na pinag-aralan ng mga mananaliksik. Ito ay nagpunta hanggang sa ilang mga application na nag-iimbak ng master key sa plain text, at ang iba ay gumagamit ng hard-code na mga cryptographic key sa code. Sa ibang kaso, ang pag-install ng isang simpleng application na helper ay nakuha ang mga password na nakaimbak ng application ng password.

Tatlong kahinaan ang natukoy sa LastPass nag-iisa. Una ng isang hard-code master key, pagkatapos ay ang data paglabas sa paghahanap sa browser, at sa wakas ay isang kahinaan na nakakaapekto LastPass sa Android 4.0.x at mas mababa na nagpapahintulot sa mga attackers na nakawin ang naka-imbak na master password.

  • SIK-2016-022: Hardcoded Master Key sa LastPass Password Manager
  • SIK-2016-023: Privacy, Data leakage sa LastPass Browser Search
  • SIK-2016-024: Basahin ang Pribadong Petsa (Naka-imbak na Masterpassword) mula sa LastPass Password Manager

Apat na mga kahinaan ang nakilala sa Dashlane, isa pang popular na application ng tagapamahala ng password. Ang mga kahinaan na ito ay nagbibigay-daan sa mga attackers na magbasa ng mga pribadong data mula sa folder ng app, pag-abuso sa mga pag-abuso ng impormasyon, at magpatakbo ng atake upang kunin ang master password.

  • SIK-2016-028: Basahin ang Pribadong Data Mula sa App Folder sa Dashlane Password Manager
  • SIK-2016-029: Impormasyon sa Paghahanap sa Google Ang pagtanggal sa Dashlane Password Manager Browser
  • SIK-2016-030: Residue Attack Extracting Masterpassword Mula sa Dashlane Password Manager
  • SIK-2016-031: Subdomain Password Leakage sa Internal Dashlane Password Manager Browser

Ang popular na application ng 1Password apat na Android ay may limang mga kahinaan kabilang ang mga isyu sa privacy at pagbagsak ng password.

  • SIK-2016-038: Pangalawa ng Password sa Subdomain sa 1Password Internal Browser
  • SIK-2016-039: Https pagbaba sa http URL bilang default sa 1Password Panloob na Browser
  • SIK-2016-040: Mga Pamagat at Mga URL Hindi Naka-encrypt sa 1Password Database
  • SIK-2016-041: Basahin ang Pribadong Data Mula sa App Folder sa 1Password Manager
  • SIK-2016-042: Isyu sa Privacy, Impormasyon sa Legacy sa Vendor 1Password Manager

Maaari mong suriin ang buong listahan ng mga app pinag-aralan at ang mga kahinaan sa website ng Fraunhofer Institute.

nota: Ang lahat ng nabanggit na mga kahinaan ay naayos ng mga kumpanya na bumuo ng mga application. Ang ilang mga pag-aayos ay pa rin sa pag-unlad. Inirerekomenda na i-update mo ang mga application sa lalong madaling panahon kung patakbuhin mo ang mga ito sa iyong mga mobile device.

Ang pagtatapos ng koponan ng pananaliksik ay lubos na nagwawasak:

Habang ipinakikita nito na kahit na ang pinaka pangunahing mga function ng isang tagapamahala ng password ay madalas na mahina, ang mga app na ito ay nagbibigay din ng mga karagdagang tampok, na maaaring, muli, makakaapekto sa seguridad. Nakita namin na, halimbawa, ang mga pag-andar ng auto-fill para sa mga application ay maaaring inabuso upang magnakaw ng mga naka-imbak na lihim mula sa application ng tagapamahala ng password gamit ang mga "nakatagong phishing" na pag-atake. Para sa mas mahusay na suporta ng mga form sa password ng auto-fill sa mga web page, ang ilan sa mga application ay nagbibigay ng kanilang sariling mga web browser. Ang mga browser na ito ay isang karagdagang pinagkukunan ng mga kahinaan, tulad ng pagtagas ng privacy.

Ngayon Ikaw: Gumagamit ka ba ng application ng tagapamahala ng password? (sa pamamagitan ng Ang Hacker News)

Ang post Mga isyu sa seguridad na natagpuan sa siyam na tagapamahala ng password para sa Android (LastPass, Dashlane ..) lumitaw ang unang sa gHacks Technology News.

Mag-iwan ng komento