I ricercatori della sicurezza del Fraunhofer Institute hanno riscontrato gravi problemi di sicurezza in nove gestori di password per Android che hanno analizzato nell'ambito della loro ricerca.
I gestori password sono un'opzione popolare quando si tratta di memorizzare informazioni di autenticazione. Tutti promettono archiviazione sicura a livello locale o remoto e alcuni possono aggiungere altre funzioni al mix come la generazione di password, accessi automatici o il salvataggio di dati importanti come numeri di carta di credito o pin.
Un recente studio dell'Istituto Fraunhofer ha esaminato nove gestori di password per il sistema operativo Android di Google da un punto di vista della sicurezza. I ricercatori hanno analizzato i seguenti gestori di password: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper e Avast Passwords.
Alcune app hanno oltre 50 milioni di installazioni e tutte almeno 100.000 installazioni.
Gestori password su analisi di sicurezza Android
Le conclusioni del team dovrebbero preoccupare tutti coloro che implementano un gestore di password su Android. Sebbene non sia chiaro se anche altre applicazioni di gestione password per Android abbiano vulnerabilità, c'è almeno una possibilità che questo sia effettivamente il caso.
I risultati complessivi sono stati estremamente preoccupanti e hanno rivelato che le applicazioni di gestione delle password, nonostante le loro affermazioni, non forniscono meccanismi di protezione sufficienti per le password e le credenziali archiviate. Al contrario, abusano della fiducia degli utenti e li espongono a rischi elevati.
È stata identificata almeno una vulnerabilità di sicurezza in ciascuna delle app analizzate dai ricercatori. Questo è arrivato fino ad alcune applicazioni che memorizzano la chiave master in testo normale, e altre che utilizzano chiavi crittografiche codificate nel codice. In un altro caso, l'installazione di una semplice applicazione di supporto ha estratto le password memorizzate dall'applicazione password.
Tre vulnerabilità sono state identificate nel solo LastPass. Innanzitutto una chiave master codificata, quindi perdite di dati nella ricerca del browser e infine una vulnerabilità che interessa LastPass su Android 4.0.xe inferiore che consente agli aggressori di rubare la password principale memorizzata.
- SIK-2016-022: Chiave master codificata in LastPass Password Manager
- SIK-2016-023: Privacy, Perdita di dati nella ricerca del browser LastPass
- SIK-2016-024: Leggi la data privata (Masterpassword memorizzata) da LastPass Password Manager
Quattro vulnerabilità sono state identificate in Dashlane, un'altra popolare applicazione per la gestione delle password. Queste vulnerabilità hanno consentito agli aggressori di leggere dati privati dalla cartella dell'app, abusare di fughe di informazioni ed eseguire un attacco per estrarre la password principale.
- SIK-2016-028: Leggi i dati privati dalla cartella dell'app in Dashlane Password Manager
- SIK-2016-029: Perdita di informazioni sulla ricerca di Google nel browser Dashlane Password Manager
- SIK-2016-030: Attacco di residui che estrae Masterpassword da Dashlane Password Manager
- SIK-2016-031: Perdita di password del sottodominio nel browser Dashlane Password Manager interno
La popolare applicazione 1Password quattro Android presentava cinque vulnerabilità tra cui problemi di privatizzazione e perdita di password.
- SIK-2016-038: Perdita di password del sottodominio nel browser interno 1Password
- SIK-2016-039: Https esegue il downgrade all'URL http per impostazione predefinita nel browser interno 1Password
- SIK-2016-040: Titoli e URL non crittografati nel database 1Password
- SIK-2016-041: Leggi i dati privati dalla cartella dell'app in 1Password Manager
- SIK-2016-042: Problema di privacy, informazioni divulgate al fornitore 1Password Manager
Puoi consultare l'elenco completo delle app analizzate e le vulnerabilità sul sito web del Fraunhofer Institute.
Nota : tutte le vulnerabilità divulgate sono state risolte dalle società che sviluppano le applicazioni. Alcune correzioni sono ancora in fase di sviluppo. Si consiglia di aggiornare le applicazioni il più presto possibile se le si esegue sui dispositivi mobili.
La conclusione del gruppo di ricerca è abbastanza devastante:
Mentre ciò dimostra che anche le funzioni più basilari di un gestore di password sono spesso vulnerabili, queste app offrono anche funzionalità aggiuntive, che possono, di nuovo, influire sulla sicurezza. Abbiamo scoperto che, ad esempio, le funzioni di riempimento automatico delle applicazioni potrebbero essere utilizzate per sottrarre i segreti archiviati dall'applicazione di gestione delle password utilizzando attacchi di "phishing nascosto". Per un migliore supporto della compilazione automatica dei moduli password nelle pagine Web, alcune applicazioni forniscono i propri browser Web. Questi browser sono un'ulteriore fonte di vulnerabilità, come la perdita di privacy.
Ora tu : usi un'applicazione per la gestione delle password? (tramite The Hacker News)
