Yhdeksälle Android-salasanan hallintaohjelmalle löytyvät tietoturvaongelmat (LastPass, Dashlane ..)

• Luokka: Turvallisuus

Kokeile Instrumenttia Ongelmien Poistamiseksi

Valitse Käyttöjärjestelmä Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Valitse Projektio -Ohjelma (Valinnaisesti) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Kuvaile Ongelmasi

Saada Vastausta

Lähetä Minut Sähköpostitse Näytä Sivustolla

Fraunhofer-instituutin turvallisuustutkijat havaitsivat vakavia tietoturvaongelmia yhdeksässä Androidin salasananhallinnassa, joita he analysoivat osana tutkimustaan.

Salasananhallinnat ovat suosittu vaihtoehto todennustietojen tallentamiseksi. Kaikki lupaavat turvallisen tallennuksen joko paikallisesti tai etäyhteydessä, ja jotkut saattavat lisätä joukkoon muita ominaisuuksia, kuten salasanan luominen, automaattiset kirjautumiset tai tärkeiden tietojen, kuten luottokorttinumeroiden tai pin-tietojen tallentaminen.

Fraunhofer-instituutin äskettäisessä tutkimuksessa tarkasteltiin Googlen Android-käyttöjärjestelmän yhdeksää salasananhallintaa turvallisuuden kannalta. Tutkijat analysoivat seuraavia salasanan hallintaohjelmia: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper ja Avast.

Joissakin sovelluksista on yli 50 miljoonaa asennusta ja kaikissa vähintään 100 000 asennusta.

Salasananhallinnat Android-tietoturva-analyysissä

Joukkueen johtopäätöksessä pitäisi olla ketään huolestuttavaa, joka ottaa käyttöön salasananhallinnan Androidilla. Vaikka on epäselvää, onko myös muissa Androidin salasananhallintasovelluksissa haavoittuvuuksia, on ainakin mahdollista, että näin on.

Kokonaistulokset olivat erittäin huolestuttavia ja paljastivat, että salasananhallintasovellukset eivät väitteistään huolimatta tarjoa tarpeeksi suojamekanismeja tallennetuille salasanoille ja valtuustiedoille. Sen sijaan he väärinkäyttävät käyttäjien luottamusta ja altistavat heidät suurille riskeille.

Jokaisessa tutkijoiden analysoimassa sovelluksessa tunnistettiin ainakin yksi tietoturvahaavoitus. Tämä meni niin pitkälle, että jotkut sovellukset tallensivat pääavaimen selkeässä tekstissä, kun taas toiset käyttivät koodattuja salausavaimia koodissa. Toisessa tapauksessa yksinkertaisen auttajasovelluksen asennus erotti salasanasovelluksen tallentamat salasanat.

Pelkästään LastPass-ohjelmassa havaittiin kolme haavoittuvuutta. Ensin koodattu pääavain, sitten tietovuodot selainhaussa, ja lopuksi viimeisen käyttöjärjestelmän Android 4.0.x tai uudemmassa versiossa oleva haavoittuvuus, jonka avulla hyökkääjät voivat varastaa tallennetun pääsalasanan.

• SIK-2016-022: koodattu pääavain LastPass Password Manager -sovelluksessa
• SIK-2016-023: Tietosuoja, tietovuodot LastPass-selainhaussa
• SIK-2016-024: Lue yksityinen päivämäärä (tallennettu pääsalasana) LastPass Password Managerilta

Dashlane, toinen suosittu salasananhallintasovellus, havaitsi neljä haavoittuvuutta. Nämä haavoittuvuudet antoivat hyökkääjät lukea yksityisiä tietoja sovelluskansiosta, väärinkäytötietovuotoja ja suorittaa hyökkäyksen pääsalasanan purkamiseksi.

• SIK-2016-028: Lue yksityiset tiedot sovelluskansiosta Dashlane Password Manager -sovelluksessa
• SIK-2016-029: Google-hakutietojen vuotaminen Dashlane Password Manager -selaimessa
• SIK-2016-030: Jäännöshyökkäys Masterpasswordin purkaminen Dashlane Password Managerista
• SIK-2016-031: Aliverkkotunnuksen salasanan vuotaminen sisäisessä Dashlane-salasananhallintaselaimessa

Suositussa 1Password-sovelluksessa neljällä Androidilla oli viisi haavoittuvuutta, mukaan lukien tietosuojaongelmat ja salasanan vuotaminen.

• SIK-2016-038: Aliverkkotunnuksen salasanavuoto 1-salasanan sisäisessä selaimessa
• SIK-2016-039: Https alentaa oletusarvoisesti http URL-osoitteeksi 1Password sisäisessä selaimessa
• SIK-2016-040: Otsikot ja URL-osoitteet, joita ei ole salattu 1Password-tietokannassa
• SIK-2016-041: Lue yksityiset tiedot sovelluskansiosta 1Password Manager -sovelluksessa
• SIK-2016-042: Tietosuojaongelma, tiedot vuotaneet myyjälle 1Padword Manager

Voit tarkistaa täydellinen luettelo sovelluksista analysoitu ja haavoittuvuudet Fraunhofer-instituutin verkkosivuilla.

Merkintä : Kaikki ilmoitetut haavoittuvuudet on korjattu sovelluksia kehittävien yritysten toimesta. Jotkut korjaukset ovat vielä kehitteillä. On suositeltavaa päivittää sovellukset mahdollisimman pian, jos ajat niitä mobiililaitteilla.

Tutkimusryhmän johtopäätös on melko tuhoisa:

Vaikka tämä osoittaa, että jopa salasananhallinnan kaikkein perustoiminnot ovat usein haavoittuvia, näissä sovelluksissa on myös lisäominaisuuksia, jotka voivat taas vaikuttaa turvallisuuteen. Havaitsimme, että esimerkiksi sovellusten automaattisen täytön toimintoja voidaan käyttää väärin varastaakseen tallennettuja salaisuuksia salasananhallintasovelluksesta käyttämällä ”piilotettujen tietojen kalastelu” -hyökkäyksiä. Jotkin sovellukset tarjoavat omat selaimensa, jotta voidaan paremmin tukea salasanan automaattista täyttämistä verkkosivuilla. Nämä selaimet ovat ylimääräinen haavoittuvuuksien lähde, kuten tietosuojavuodot.

Nyt sinä : Käytätkö salasananhallintasovellusta? (kautta Hacker-uutiset )