בעיות אבטחה שנמצאו בתשעה מנהלי סיסמאות עבור אנדרואיד (LastPass, Dashlane ..)

• קטגוריה: בִּטָחוֹן

נסה את הכלי שלנו לביטול בעיות

בחר במערכת ההפעלה Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro בחר תוכנית השלכה (אופציונלית) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

תאר את הבעיה שלך

לקבל תשובה

שלח לי בדוא"ל הצג באתר

חוקרי אבטחה במכון Fraunhofer מצאו בעיות אבטחה קשות בתשעה מנהלי סיסמאות עבור אנדרואיד אותם ניתחו כחלק מהמחקר שלהם.

מנהלי סיסמאות הם אפשרות פופולרית בכל הקשור לאחסון מידע אימות. כולם מבטיחים אחסון מאובטח באופן מקומי או מרחוק, וחלקם עשויים להוסיף תכונות אחרות לתערובת כגון יצירת סיסמאות, כניסות אוטומטיות או שמירת נתונים חשובים כמו מספרי כרטיסי אשראי או סיכות.

מחקר שנערך לאחרונה על ידי מכון Fraunhofer בדק תשעה מנהלי סיסמאות עבור מערכת ההפעלה אנדרואיד של גוגל מבחינה ביטחונית. החוקרים ניתחו את מנהלי הסיסמאות הבאים: LastPass, 1Password, My Passwords, Dashlane Password Manager, Manager Manager של סיסמת Informaticore, F-Secure KEY, Keepsafe, Keeper ו- Avast.

בחלק מהאפליקציות יש יותר מ- 50 מיליון התקנות, וכולן לפחות 100,000 התקנות.

מנהלי סיסמאות בניתוח אבטחה אנדרואיד

מסקנת הצוות צריכה להיות לכל מי שחשש מי מיישם מנהל סיסמאות באנדרואיד. אמנם לא ברור אם יש פגיעויות אחרות במנהל סיסמאות עבור אנדרואיד, אך יש סיכוי לפחות שזה אכן כך.

התוצאות הכוללות היו מדאיגות ביותר וחשפו כי יישומי מנהל סיסמאות, למרות טענותיהם, אינם מספקים מספיק מנגנוני הגנה עבור הסיסמאות והתעודות המאוחסנות. במקום זאת הם משתמשים לרעה בביטחון המשתמשים וחושפים אותם לסיכונים גבוהים.

לפחות פגיעות אבטחה אחת זוהתה בכל אחת מהאפליקציות שהניתחו החוקרים. זה הרחיק לכת כמו יישומים המאחסנים את מפתח הראשי בטקסט רגיל, ואחרים משתמשים במפתחות קריפטוגרפיים מקודדים בקוד. במקרה אחר, התקנת יישום עוזר פשוט חילץ את הסיסמאות המאוחסנות על ידי יישום הסיסמה.

שלוש נקודות תורפה זוהו ב- LastPass בלבד. תחילה מפתח מאסטר בקידוד קשה, אחר כך דליפות נתונים בחיפוש הדפדפנים, ולבסוף פגיעות המשפיעת על LastPass ב- Android 4.0.x ומטה המאפשרת לתוקפים לגנוב את סיסמת המאסטר השמורה.

• SIK-2016-022: מפתח מאסטר מוקודד במנהל הסיסמאות של LastPass
• SIK-2016-023: פרטיות, דליפת נתונים בחיפוש דפדפני LastPass
• SIK-2016-024: קרא תאריך פרטי (סיסמת אב מאוחסנת) ממנהל הסיסמאות של LastPass

ארבע נקודות תורפה זוהו ב- Dashlane, יישום אחר פופולרי למנהל סיסמאות. נקודות תורפה אלה אפשרו לתוקפים לקרוא נתונים פרטיים מתיקיית האפליקציה, לנצל דליפות מידע ולהפעיל התקפה כדי לחלץ את סיסמת האב.

• SIK-2016-028: קרא נתונים פרטיים מתיקיית אפליקציות במנהל הסיסמאות של דשלאן
• SIK-2016-029: דליפת מידע על חיפוש בגוגל בגוגל בדפדפן מנהל הסיסמאות של דשלאן
• SIK-2016-030: שארית התקפה חילוץ סיסמת מאסטר ממנהל סיסמאות של דשלאן
• SIK-2016-031: דליפת סיסמא של תת-דומיין בדפדפן מנהל הסיסמאות הפנימי של דשליין

ליישום 1Password הפופולרי ארבע אנדרואיד היו חמש פגיעויות כולל בעיות פרטיות ודליפת סיסמאות.

• SIK-2016-038: דליפת סיסמא של תת-דומיין בדפדפן הפנימי של 1 סיסמא
• SIK-2016-039: Https מוריד ל- URL URL כברירת מחדל בדפדפן הפנימי 1Password
• SIK-2016-040: כותרות וכתובות אתרים שאינן מוצפנות במסד נתונים 1Password
• SIK-2016-041: קרא נתונים פרטיים מתיקיית אפליקציות במנהל סיסמאות 1
• SIK-2016-042: נושא פרטיות, מידע שהודלף לספק מנהל הסיסמאות 1

אתה יכול לבדוק את רשימת האפליקציות המלאה שניתחו את הפגיעויות באתר מכון Fraunhofer.

הערה : כל הפגיעויות שנחשפו תוקנו על ידי החברות המפתחות את היישומים. חלק מהתיקונים עדיין בפיתוח. מומלץ לעדכן את היישומים בהקדם האפשרי אם אתה מפעיל אותם במכשירים הניידים שלך.

המסקנה של צוות המחקר הרסנית למדי:

אמנם זה מראה שאפילו הפונקציות הבסיסיות ביותר של מנהל סיסמאות הן לעתים קרובות פגיעות, אפליקציות אלה מספקות גם תכונות נוספות שיכולות, שוב, להשפיע על האבטחה. מצאנו כי לדוגמא, ניתן לעשות שימוש לרעה בפונקציות מילוי אוטומטי ליישומים כדי לגנוב את הסודות המאוחסנים מיישום מנהל הסיסמאות באמצעות התקפות 'דיוג מוסתר'. לקבלת תמיכה טובה יותר במילוי טפסים אוטומטיים של סיסמאות בדפי אינטרנט, חלק מהיישומים מספקים דפדפני אינטרנט משלהם. דפדפנים אלה מהווים מקור נוסף לפגיעויות, כגון דליפת פרטיות.

עכשיו אתה : האם אתה משתמש ביישום מנהל סיסמאות? (באמצעות חדשות ההאקר )