Problemi di sicurezza riscontrati in nove gestori di password per Android (LastPass, Dashlane ..)

• Categoria: Sicurezza

Prova Il Nostro Strumento Per Eliminare I Problemi

Seleziona Il Sistema Operativo Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Scegli Un Programma Di Proiezione (Facoltativamente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descrivi Il Tuo Problema

Ottieni Una Risposta

Inviami Via E -Mail Mostra Sul Sito

I ricercatori di sicurezza del Fraunhofer Institute hanno trovato gravi problemi di sicurezza in nove gestori di password per Android che hanno analizzato come parte della loro ricerca.

I gestori di password sono un'opzione popolare quando si tratta di memorizzare le informazioni di autenticazione. Tutti promettono un'archiviazione sicura sia in locale che in remoto e alcuni possono aggiungere altre funzionalità al mix come la generazione di password, gli accessi automatici o il salvataggio di dati importanti come numeri di carte di credito o Pin.

Un recente studio del Fraunhofer Institute ha esaminato nove gestori di password per il sistema operativo Android di Google da un punto di vista della sicurezza. I ricercatori hanno analizzato i seguenti gestori di password: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper e Avast Passwords.

Alcune delle app hanno più di 50 milioni di installazioni e tutte almeno 100.000 installazioni.

Gestori di password sull'analisi della sicurezza Android

La conclusione del team dovrebbe preoccupare chiunque implementa un gestore di password su Android. Sebbene non sia chiaro se anche altre applicazioni di gestione delle password per Android abbiano vulnerabilità, c'è almeno una possibilità che sia davvero così.

I risultati complessivi sono stati estremamente preoccupanti e hanno rivelato che le applicazioni di gestione delle password, nonostante le loro affermazioni, non forniscono meccanismi di protezione sufficienti per le password e le credenziali memorizzate. Al contrario, abusano della fiducia degli utenti e li espongono a rischi elevati.

Almeno una vulnerabilità di sicurezza è stata identificata in ciascuna delle app analizzate dai ricercatori. Questo è andato fino ad alcune applicazioni che memorizzano la chiave principale in testo normale e altre che utilizzano chiavi crittografiche hardcoded nel codice. In un altro caso, l'installazione di una semplice applicazione helper ha estratto le password memorizzate dall'applicazione password.

Tre vulnerabilità sono state identificate solo in LastPass. Prima una chiave master hardcoded, quindi perdite di dati nella ricerca del browser e infine una vulnerabilità che colpisce LastPass su Android 4.0.xe versioni precedenti che consente agli aggressori di rubare la password principale memorizzata.

• SIK-2016-022: chiave master hardcoded in LastPass Password Manager
• SIK-2016-023: Privacy, fuga di dati nella ricerca del browser LastPass
• SIK-2016-024: Leggi la data privata (Masterpassword memorizzata) da LastPass Password Manager

Quattro vulnerabilità sono state identificate in Dashlane, un'altra popolare applicazione per la gestione delle password. Queste vulnerabilità consentivano agli aggressori di leggere dati privati ​​dalla cartella dell'app, abusare di fughe di informazioni ed eseguire un attacco per estrarre la password principale.

• SIK-2016-028: leggi i dati privati ​​dalla cartella delle app in Dashlane Password Manager
• SIK-2016-029: Perdita di informazioni sulla ricerca di Google nel browser Dashlane Password Manager
• SIK-2016-030: Attacco dei residui che estrae la password principale da Dashlane Password Manager
• SIK-2016-031: Perdita di password del sottodominio nel browser interno di Dashlane Password Manager

La popolare applicazione 1Password quattro Android presentava cinque vulnerabilità, inclusi problemi di privacy e perdita di password.

• SIK-2016-038: Perdita di password del sottodominio nel browser interno di 1Password
• SIK-2016-039: downgrade Https all'URL http per impostazione predefinita nel browser interno 1Password
• SIK-2016-040: titoli e URL non crittografati nel database 1Password
• SIK-2016-041: leggere i dati privati ​​dalla cartella delle app in 1Password Manager
• SIK-2016-042: problema di privacy, informazioni trapelate al fornitore 1Password Manager

Puoi controllare il file elenco completo delle app analizzati e le vulnerabilità sul sito web del Fraunhofer Institute.

Nota : Tutte le vulnerabilità divulgate sono state corrette dalle società che sviluppano le applicazioni. Alcune correzioni sono ancora in fase di sviluppo. Si consiglia di aggiornare le applicazioni il prima possibile se vengono eseguite sui dispositivi mobili.

La conclusione del gruppo di ricerca è piuttosto devastante:

Sebbene ciò dimostri che anche le funzioni più basilari di un gestore di password sono spesso vulnerabili, queste app forniscono anche funzionalità aggiuntive, che possono, ancora una volta, influire sulla sicurezza. Abbiamo scoperto che, ad esempio, le funzioni di riempimento automatico per le applicazioni potrebbero essere utilizzate in modo improprio per rubare i segreti memorizzati dall'applicazione di gestione delle password utilizzando attacchi di 'phishing nascosto'. Per un migliore supporto della compilazione automatica dei moduli delle password nelle pagine web, alcune applicazioni forniscono i propri browser web. Questi browser sono un'ulteriore fonte di vulnerabilità, come la violazione della privacy.

Ora tu : Utilizzi un'applicazione per la gestione delle password? (attraverso The Hacker News )