在Android的九个密码管理器(LastPass,Dashlane ..)中发现了安全问题
- 类别: 安全
弗劳恩霍夫研究所(Fraunhofer Institute)的安全研究人员在9个Android密码管理器中发现了严重的安全问题,并将其作为研究的一部分进行了分析。
在存储身份验证信息时,密码管理器是一个流行的选项。所有产品都保证可以在本地或远程进行安全存储,有些还可以添加其他功能,例如密码生成,自动登录或保存重要数据(例如信用卡号或密码)。
弗劳恩霍夫研究所(Fraunhofer Institute)最近进行的一项研究从安全性角度考察了Google的Android操作系统的九种密码管理器。研究人员分析了以下密码管理器:LastPass,1Password,我的密码,Dashlane密码管理器,Informaticore的密码管理器,F-Secure KEY,Keepsafe,Keeper和Avast密码。
其中一些应用程序的安装量超过5000万,而所有安装量至少为100,000。
Android上的密码管理器安全性分析
团队的结论应该让任何担心的人在Android上实现密码管理器。虽然尚不清楚其他Android密码管理器应用程序是否也存在漏洞,但至少有可能确实如此。
总体结果令人非常担忧,并且显示密码管理器应用程序尽管提出了要求,但却没有为存储的密码和凭据提供足够的保护机制。相反,他们滥用用户的信心并使他们面临高风险。
研究人员分析的每个应用程序中都至少发现了一个安全漏洞。某些应用程序将主密钥存储为纯文本,而另一些应用程序则使用硬编码的密码密钥。在另一种情况下,安装简单的帮助程序会提取密码应用程序存储的密码。
仅在LastPass中发现了三个漏洞。首先是一个硬编码的主密钥,然后是浏览器搜索中的数据泄漏,最后是一个影响Android 4.0.x及更低版本上的LastPass的漏洞,攻击者可以利用该漏洞窃取存储的主密码。
- SIK-2016-022:LastPass密码管理器中的硬编码主密钥
- SIK-2016-023:隐私,LastPass浏览器搜索中的数据泄漏
- SIK-2016-024:从LastPass密码管理器中读取私人日期(存储的主密码)
在另一个流行的密码管理器应用程序Dashlane中确定了四个漏洞。这些漏洞使攻击者可以从app文件夹中读取私人数据,滥用信息泄漏并进行攻击以提取主密码。
- SIK-2016-028:从Dashlane密码管理器中的App文件夹中读取私人数据
- SIK-2016-029:Dashlane密码管理器浏览器中的Google搜索信息泄漏
- SIK-2016-030:从Dashlane密码管理器中提取残余密码的Mastermaster残余攻击
- SIK-2016-031:内部Dashlane密码管理器浏览器中的子域密码泄漏
流行的1Password应用程序(四个Android)具有五个漏洞,其中包括隐私问题和密码泄漏。
- SIK-2016-038:1Password内部浏览器中的子域密码泄漏
- SIK-2016-039:默认在1Password内部浏览器中将Https降级为http URL
- SIK-2016-040:1Password数据库中未加密的标题和URL
- SIK-2016-041:从1Password Manager中的App文件夹读取私有数据
- SIK-2016-042:隐私问题,信息泄露给供应商1Password Manager
您可以查看 应用程式完整清单 分析并在Fraunhofer Institute网站上查找漏洞。
注意 :所有公开的漏洞已由开发应用程序的公司修复。一些修复程序仍在开发中。如果在移动设备上运行它们,建议您尽快更新它们。
研究小组的结论令人震惊:
尽管这表明即使密码管理器的最基本功能也经常受到攻击,但这些应用程序还提供了其他功能,这些功能可能再次影响安全性。我们发现,例如,应用程序的自动填充功能可能被滥用,以使用“隐藏的网络钓鱼”攻击从密码管理器应用程序中窃取存储的机密。为了更好地支持网页中自动填写密码表单,某些应用程序提供了自己的网络浏览器。这些浏览器是漏洞的另一个来源,例如隐私泄漏。
现在轮到你 :您是否使用密码管理器应用程序? (通过 黑客新闻 )