Các nhà nghiên cứu bảo mật của Viện Fraunhofer đã tìm thấy các vấn đề bảo mật nghiêm trọng trong chín trình quản lý mật khẩu cho Android mà họ đã phân tích như một phần của nghiên cứu.
Trình quản lý mật khẩu là một tùy chọn phổ biến khi lưu trữ thông tin xác thực. Tất cả đều hứa lưu trữ an toàn cục bộ hoặc từ xa và một số có thể thêm các tính năng khác vào hỗn hợp như tạo mật khẩu, đăng nhập tự động hoặc lưu dữ liệu quan trọng như số Thẻ tín dụng hoặc Ghim.
Một nghiên cứu gần đây của Viện Fraunhofer đã xem xét chín trình quản lý mật khẩu cho hệ điều hành Android của Google từ góc độ bảo mật. Các nhà nghiên cứu đã phân tích các trình quản lý mật khẩu sau: LastPass, 1Password, Mật khẩu của tôi, Trình quản lý mật khẩu Dashlane, Trình quản lý mật khẩu của Informaticore, F-Secure KEY, Keepsafe, Keeper và Avast Passwords.
Một số ứng dụng có hơn 50 triệu lượt cài đặt và tất cả ít nhất 100.000 lượt cài đặt.
Trình quản lý mật khẩu trên phân tích bảo mật Android
Kết luận của nhóm nên có bất kỳ ai lo lắng về việc thực hiện trình quản lý mật khẩu trên Android. Mặc dù không rõ liệu các ứng dụng quản lý mật khẩu khác cho Android có lỗ hổng hay không, nhưng ít nhất có khả năng đây thực sự là trường hợp.
Kết quả tổng thể là vô cùng đáng lo ngại và tiết lộ rằng các ứng dụng quản lý mật khẩu, mặc dù yêu cầu của chúng, không cung cấp đủ cơ chế bảo vệ cho mật khẩu và thông tin đăng nhập được lưu trữ. Thay vào đó, họ lạm dụng sự tự tin của người dùng và khiến họ gặp rủi ro cao.
Ít nhất một lỗ hổng bảo mật đã được xác định trong mỗi ứng dụng mà các nhà nghiên cứu đã phân tích. Điều này đã đi xa như một số ứng dụng lưu trữ khóa chính trong văn bản thuần túy và những ứng dụng khác sử dụng khóa mật mã được mã hóa cứng trong mã. Trong một trường hợp khác, việc cài đặt một ứng dụng trợ giúp đơn giản đã trích xuất mật khẩu được lưu trữ bởi ứng dụng mật khẩu.
Ba lỗ hổng được xác định chỉ trong LastPass. Đầu tiên là khóa chính được mã hóa cứng, sau đó rò rỉ dữ liệu trong tìm kiếm của trình duyệt và cuối cùng là lỗ hổng ảnh hưởng đến LastPass trên Android 4.0.x và thấp hơn cho phép kẻ tấn công đánh cắp mật khẩu chính được lưu trữ.
- SIK-2016-022: Khóa chính được mã hóa cứng trong Trình quản lý mật khẩu LastPass
- SIK-2016-023: Quyền riêng tư, rò rỉ dữ liệu trong Tìm kiếm trình duyệt LastPass
- SIK-2016-024: Đọc Ngày riêng tư (Lưu trữ thông điệp chính) từ Trình quản lý mật khẩu LastPass
Bốn lỗ hổng được xác định trong Dashlane, một ứng dụng quản lý mật khẩu phổ biến khác. Những lỗ hổng này cho phép kẻ tấn công đọc dữ liệu riêng tư từ thư mục ứng dụng, lạm dụng thông tin rò rỉ và thực hiện một cuộc tấn công để trích xuất mật khẩu chính.
- SIK-2016-028: Đọc dữ liệu riêng tư từ thư mục ứng dụng trong Trình quản lý mật khẩu Dashlane
- SIK-2016-029: Rò rỉ thông tin tìm kiếm của Google trong Trình duyệt Trình quản lý mật khẩu Dashlane
- SIK-2016-030: Biện pháp trích xuất tấn công dư lượng từ Trình quản lý mật khẩu Dashlane
- SIK-2016-031: Rò rỉ mật khẩu tên miền phụ trong Trình duyệt Trình quản lý mật khẩu Dashlane nội bộ
Ứng dụng 1Password phổ biến bốn Android có năm lỗ hổng bao gồm các vấn đề về quyền riêng tư và rò rỉ mật khẩu.
- SIK-2016-038: Rò rỉ mật khẩu tên miền trong Trình duyệt nội bộ 1Password
- SIK-2016-039: Https hạ cấp xuống URL http theo mặc định trong 1Password Internal Browser
- SIK-2016-040: Tiêu đề và URL không được mã hóa trong cơ sở dữ liệu 1Password
- SIK-2016-041: Đọc dữ liệu riêng tư từ thư mục ứng dụng trong Trình quản lý 1Password
- SIK-2016-042: Vấn đề bảo mật, thông tin bị rò rỉ cho nhà cung cấp 1Password Manager
Bạn có thể kiểm tra danh sách đầy đủ các ứng dụng được phân tích và các lỗ hổng trên trang web của Viện Fraunhofer.
Lưu ý : Tất cả các lỗ hổng được tiết lộ đã được sửa chữa bởi các công ty phát triển ứng dụng. Một số bản sửa lỗi vẫn đang được phát triển. Bạn nên cập nhật các ứng dụng càng sớm càng tốt nếu bạn chạy chúng trên thiết bị di động của mình.
Kết luận của nhóm nghiên cứu khá tàn khốc:
Mặc dù điều này cho thấy ngay cả các chức năng cơ bản nhất của trình quản lý mật khẩu thường dễ bị tổn thương, các ứng dụng này cũng cung cấp các tính năng bổ sung, một lần nữa, có thể ảnh hưởng đến bảo mật. Chúng tôi thấy rằng, ví dụ, các chức năng tự động điền cho các ứng dụng có thể bị lạm dụng để đánh cắp các bí mật được lưu trữ từ ứng dụng quản lý mật khẩu bằng cách sử dụng các cuộc tấn công lừa đảo ẩn của ảo. Để hỗ trợ tốt hơn cho các biểu mẫu tự động điền mật khẩu trong các trang web, một số ứng dụng cung cấp trình duyệt web của riêng họ. Các trình duyệt này là một nguồn bổ sung của các lỗ hổng, chẳng hạn như rò rỉ quyền riêng tư.
Bây giờ Bạn : Bạn có sử dụng ứng dụng quản lý mật khẩu không? (thông qua Tin tức Hacker)
