Penyelidik keselamatan Institut Fraunhofer mendapati masalah keselamatan yang teruk dalam sembilan pengurus kata laluan untuk Android yang mereka dianalisis sebagai sebahagian daripada penyelidikan mereka.
Pengurus kata laluan adalah pilihan popular apabila menyimpan maklumat pengesahan. Semua janji simpanan yang selamat sama ada secara tempatan atau dari jauh, dan sesetengah mungkin menambahkan ciri lain pada campuran seperti generasi kata laluan, masuk automatik atau menyimpan data penting seperti nombor Kad Kredit atau Pins.
Satu kajian terbaru oleh Institut Fraunhofer melihat sembilan pengurus kata laluan untuk sistem operasi Android Google dari sudut keselamatan. Para penyelidik menganalisis pengurus kata laluan yang berikut: LastPass, 1Password, Kata Sandi Saya, Pengurus Kata Sandi Dashlane, Pengurus Kata Kata Informaticore, F-Secure KEY, Keepsafe, Keeper, dan Kata Laluan Avast.
Sesetengah aplikasi mempunyai lebih daripada 50 juta pemasangan, dan sekurang-kurangnya 100, 000 pemasangan.
Pengurus Kata Sandi pada analisis keselamatan Android
Kesimpulan pasukan harus ada yang bimbang siapa yang mengimplementasikan pengurus kata laluan pada Android. Walaupun tidak jelas sama ada aplikasi pengurus kata laluan lain untuk Android mempunyai kelemahan juga, terdapat sekurang-kurangnya peluang bahawa ini memang berlaku.
Hasil keseluruhannya sangat membimbangkan dan mendedahkan bahawa aplikasi pengurus kata laluan, meskipun tuntutan mereka, tidak menyediakan mekanisme perlindungan yang cukup untuk kata laluan dan kelayakan yang disimpan. Sebaliknya, mereka menyalahgunakan keyakinan pengguna dan mendedahkannya kepada risiko yang tinggi.
Sekurang-kurangnya satu kelemahan keselamatan telah dikenal pasti dalam setiap aplikasi yang dianalisis penyelidik. Ini pergi sejauh beberapa aplikasi menyimpan kunci induk dalam teks biasa, dan yang lain menggunakan kunci kriptografi berkod keras dalam kod. Dalam kes lain, pemasangan aplikasi pembantu mudah yang diekstrak kata laluan yang disimpan oleh aplikasi kata laluan.
Tiga kelemahan dikenalpasti dalam LastPass sahaja. Pertama, kunci induk berkod keras, kemudian data kebocoran dalam carian penyemak imbas, dan akhirnya kelemahan yang menjejaskan LastPass pada Android 4.0.x dan yang lebih rendah yang membolehkan penyerang mencuri kata laluan master tersimpan.
- SIK-2016-022: Mastercame Master Key dalam LastPass Password Manager
- SIK-2016-023: Privasi, kebocoran Data dalam Carian Penyemak Imbas LastPass
- SIK-2016-024: Baca Tarikh Persendirian (Kata Laluan Master Disimpan) dari Pengurus Kata Laluan LastPass
Empat kelemahan telah dikenalpasti dalam Dashlane, satu lagi aplikasi pengurus kata laluan yang popular. Kelemahan ini membolehkan penyerang untuk membaca data peribadi dari folder apl, penyalahgunaan maklumat penyalahgunaan, dan menjalankan serangan untuk mengekstrak kata laluan induk.
- SIK-2016-028: Baca Data Persendirian Dari Folder Apl dalam Pengurus Kata Laluan Dashlane
- SIK-2016-029: Maklumat Carian Google Kebocoran dalam Browser Kata Laluan Dashlane
- SIK-2016-030: Penyerang Residu Mengekstrak Kata Laluan Master dari Dashlane Password Manager
- SIK-2016-031: Kebocoran Kata Laluan subdomain dalam Pelayar Pengurus Kata Laluan Dashlane Dalaman
Aplikasi 1Password popular empat Android mempunyai lima kelemahan termasuk isu privasi dan kata laluan yang bocor.
- SIK-2016-038: Kebocoran Kata Laluan subdomain dalam Pelayar Dalaman 1Password
- SIK-2016-039: Https downgrade ke URL URL secara lalai dalam Pelayar Dalaman 1Password
- SIK-2016-040: Judul dan URL Tidak Disulitkan dalam Pangkalan Data Kata Laluan 1
- SIK-2016-041: Baca Data Persendirian Dari Folder Apl dalam Pengurus 1Password
- SIK-2016-042: Terbitan Privasi, Maklumat Terbuka kepada Vendor 1Password Manager
Anda boleh menyemak senarai lengkap aplikasi yang dianalisis dan kelemahan pada laman web Institut Fraunhofer.
Nota : Semua kelemahan yang telah didedahkan telah ditetapkan oleh syarikat yang membangunkan aplikasi tersebut. Sesetengah pembetulan masih dalam pembangunan. Adalah disyorkan agar anda mengemas kini aplikasi secepat mungkin jika anda menjalankannya pada peranti mudah alih anda.
Kesimpulan pasukan penyelidikan agak dahsyat:
Walaupun ini menunjukkan bahawa walaupun fungsi yang paling asas pengurus kata laluan sering terdedah, aplikasi ini juga menyediakan ciri tambahan, yang boleh sekali lagi menjejaskan keselamatan. Kami mendapati bahawa, sebagai contoh, fungsi auto-mengisi untuk aplikasi boleh disalahgunakan untuk mencuri rahsia yang disimpan dari aplikasi pengurus kata laluan menggunakan serangan "phishing tersembunyi". Untuk sokongan kata laluan auto mengisi yang lebih baik di halaman web, beberapa aplikasi menyediakan penyemak imbas web mereka sendiri. Pelayar ini merupakan sumber kelemahan tambahan, seperti kebocoran privasi.
Sekarang Anda : Adakah anda menggunakan aplikasi pengurus kata laluan? (melalui The Hacker News)
