S'han trobat problemes de seguretat en nou gestors de contrasenyes per a Android (LastPass, Dashlane ..)

• Categoria: Seguretat

Proveu El Nostre Instrument Per Eliminar Problemes

Seleccioneu El Sistema Operatiu Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Trieu Un Programa De Projecció (Opcionalment) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descriviu El Vostre Problema

Obteniu Una Resposta

Envieu -Me Per Correu Electrònic Mostra Al Lloc

Els investigadors de seguretat de l'Institut Fraunhofer van trobar problemes greus en la seguretat de nou gestors de contrasenyes per a Android que van analitzar com a part de la seva recerca.

Els gestors de contrasenyes són una opció popular a l’hora d’emmagatzemar informació d’autenticació. Tots prometen emmagatzemar de forma segura localment o de manera remota, i alguns poden afegir altres funcions a la combinació, com ara la generació de contrasenyes, els registres d’accés automàtic o l’estalvi de dades importants, com ara els números de la targeta de crèdit o els pins.

Un estudi recent de l'Institut Fraunhofer va analitzar nou gestors de contrasenyes per al sistema operatiu Android de Google des d'un punt de vista de seguretat. Els investigadors van analitzar els següents gestors de contrasenyes: LastPass, 1Password, My Password, Administrador de contrasenyes de Dashlane, Gestor de contrasenyes d’Informaticore, F-Secure KEY, Keepsafe, Keeper i Avast Password.

Algunes de les aplicacions tenen més de 50 milions d’instal·lacions i totes almenys 100.000 instal·lacions.

Gestors de contrasenyes en anàlisi de seguretat d'Android

La conclusió de l’equip hauria de preocupar-se de qualsevol persona que implementi un gestor de contrasenyes a Android. Tot i que no se sap si altres aplicacions de gestor de contrasenyes per a Android també tenen vulnerabilitats, hi ha almenys una possibilitat que això sigui així.

Els resultats generals van ser extremadament preocupants i van revelar que les aplicacions de gestor de contrasenyes, malgrat les seves reclamacions, no proporcionen mecanismes de protecció suficients per a les contrasenyes i les credencials emmagatzemades. En canvi, abusen de la confiança dels usuaris i els exposen a alts riscos.

Es va identificar almenys una vulnerabilitat de seguretat a cadascuna de les aplicacions que han investigat els investigadors. Això va arribar fins a algunes aplicacions que emmagatzemaven la clau mestra en text senzill, i d'altres que utilitzen claus criptogràfiques de codi dur. En un altre cas, la instal·lació d’una senzilla aplicació d’assistència va extreure les contrasenyes emmagatzemades per l’aplicació de contrasenya.

Es van identificar tres vulnerabilitats només a LastPass. Primer, una clau mestra de codi dur, després les filtracions de dades a la cerca del navegador i, finalment, una vulnerabilitat que afecta LastPass a Android 4.0.x i inferior que permet als atacants robar la contrasenya principal emmagatzemada.

• SIK-2016-022: clau màquina amb codis durs al gestor de contrasenyes de LastPass
• SIK-2016-023: Privadesa, fuga de dades a la cerca del navegador LastPass
• SIK-2016-024: Llegiu la data privada (paraula de contingut emmagatzemada) del LastPass Password Manager

Es van identificar quatre vulnerabilitats a Dashlane, una altra popular aplicació de gestor de contrasenyes. Aquestes vulnerabilitats van permetre als atacants llegir dades privades de la carpeta de l’aplicació, filtrar informació d’abús i executar un atac per extreure la contrasenya principal.

• SIK-2016-028: Llegiu les dades privades de la carpeta d’aplicacions del gestor de contrasenyes de Dashlane
• SIK-2016-029: Fuga d'informació de cerca de Google al navegador del gestor de contrasenyes de Dashlane
• SIK-2016-030: atac de residus que extreu el passatge principal del gestor de contrasenyes de Dashlane
• SIK-2016-031: Fuga de contrasenyes de subdomini al navegador intern de gestor de contrasenyes de dashlane

La popular aplicació Android 1Password quatre tenia cinc vulnerabilitats, incloent problemes de privacitat i filtració de contrasenyes.

• SIK-2016-038: Fuga de contrasenya del subdomini al navegador intern 1Password
• SIK-2016-039: Https baixa a l’URL http de manera predeterminada al navegador intern 1Password
• SIK-2016-040: Títols i URL no xifrats a la base de dades 1Password
• SIK-2016-041: Llegiu les dades privades de la carpeta d’aplicacions en 1Password Manager
• SIK-2016-042: Problema de privadesa i informació que es va derivar al gestor de paraules clau del venedor 1

Podeu consultar el llista completa d’aplicacions analitzats i les vulnerabilitats al lloc web de l’Institut Fraunhofer.

Nota : Totes les vulnerabilitats revelades han estat solucionades per les empreses que desenvolupen les aplicacions. Algunes solucions encara estan en desenvolupament. Es recomana que actualitzeu les aplicacions el més aviat possible si les publiqueu en els vostres dispositius mòbils.

La conclusió de l’equip de recerca és força devastadora:

Si bé això demostra que fins i tot les funcions més bàsiques d’un gestor de contrasenyes són sovint vulnerables, aquestes aplicacions també ofereixen funcions addicionals, que poden, de nou, afectar la seguretat. Vam trobar que, per exemple, es podrien abusar de les funcions d’emplenament automàtic de les aplicacions per robar els secrets emmagatzemats de l’aplicació del gestor de contrasenyes mitjançant atacs “phishing ocults”. Per obtenir un millor suport dels formularis d’ompliment automàtic de contrasenyes a les pàgines web, algunes de les aplicacions proporcionen els seus propis navegadors web. Aquests navegadors són una font addicional de vulnerabilitats, com ara les fuites de privadesa.

Ara tu : Feu servir una aplicació de gestor de contrasenyes? (via Les notícies de pirates informàtics )