พบปัญหาความปลอดภัยในตัวจัดการรหัสผ่านเก้าตัวสำหรับ Android (LastPass, Dashlane .. )

นักวิจัยด้านความปลอดภัยของสถาบัน Fraunhofer พบปัญหาด้านความปลอดภัยที่รุนแรงในตัวจัดการรหัสผ่านเก้าตัวสำหรับ Android ที่พวกเขาวิเคราะห์เป็นส่วนหนึ่งของการวิจัย

ผู้จัดการรหัสผ่านเป็นตัวเลือกยอดนิยมเมื่อพูดถึงการจัดเก็บข้อมูลการตรวจสอบสิทธิ์ พื้นที่เก็บข้อมูลที่ปลอดภัยทั้งหมดรับประกันได้ว่าอยู่ในพื้นที่หรือจากระยะไกลและบางแห่งอาจเพิ่มคุณสมบัติอื่น ๆ ให้กับการผสมผสานเช่นการสร้างรหัสผ่านการลงชื่อเข้าใช้อัตโนมัติหรือการบันทึกข้อมูลสำคัญเช่นหมายเลขบัตรเครดิตหรือพิน

การศึกษาล่าสุดโดยสถาบัน Fraunhofer ดูที่ผู้จัดการรหัสผ่านเก้าคนสำหรับระบบปฏิบัติการ Android ของ Google จากมุมมองด้านความปลอดภัย นักวิจัยวิเคราะห์ผู้จัดการรหัสผ่านต่อไปนี้: LastPass, 1Password, My Passwords, Dashlane Password Manager, โปรแกรมจัดการรหัสผ่านของ Informaticore, F-Secure KEY, Keepsafe, Keeper และ Avast Passwords

แอพบางตัวมีการติดตั้งมากกว่า 50 ล้านครั้งและติดตั้งอย่างน้อย 100, 000 รายการ

ผู้จัดการรหัสผ่านในการวิเคราะห์ความปลอดภัยของ Android

ข้อสรุปของทีมควรมีทุกคนที่เป็นกังวลที่ใช้เครื่องมือจัดการรหัสผ่านบน Android แม้ว่าจะไม่ชัดเจนว่าแอปพลิเคชันตัวจัดการรหัสผ่านอื่น ๆ สำหรับ Android มีช่องโหว่หรือไม่ แต่อย่างน้อยก็มีโอกาสที่จะเป็นเช่นนั้น

ผลลัพธ์โดยรวมมีความกังวลอย่างมากและเปิดเผยว่าแอปพลิเคชั่นตัวจัดการรหัสผ่านแม้จะมีการอ้างสิทธิ์ แต่ก็ไม่มีกลไกการป้องกันที่เพียงพอสำหรับรหัสผ่านและข้อมูลรับรองที่จัดเก็บไว้ แต่พวกเขาใช้ความมั่นใจของผู้ใช้ในทางที่ผิดและเสี่ยงต่อความเสี่ยงสูง

มีการระบุจุดอ่อนด้านความปลอดภัยอย่างน้อยหนึ่งรายการในแต่ละแอปที่นักวิจัยวิเคราะห์ สิ่งนี้ไปได้ไกลเท่าที่แอปพลิเคชั่นบางตัวเก็บคีย์หลักเป็นข้อความธรรมดาและอื่น ๆ ที่ใช้คีย์การเข้ารหัสแบบเข้ารหัสในรหัส ในอีกกรณีหนึ่งการติดตั้งแอปพลิเคชันตัวช่วยอย่างง่ายจะดึงรหัสผ่านที่จัดเก็บโดยแอปพลิเคชันรหัสผ่าน

ช่องโหว่สามช่องถูกระบุใน LastPass เพียงอย่างเดียว คีย์หลักตัวแรกที่เข้ารหัสยากจากนั้นข้อมูลรั่วไหลในการค้นหาเบราว์เซอร์และในที่สุดช่องโหว่ที่ส่งผลต่อ LastPass บน Android 4.0.x และต่ำกว่าซึ่งทำให้ผู้โจมตีสามารถขโมยรหัสผ่านหลักที่เก็บไว้ได้

  • SIK-2016-022: Hardcoded Master Key ใน LastPass Password Manager
  • SIK-2016-023: ความเป็นส่วนตัว, การรั่วไหลของข้อมูลในการค้นหาเบราว์เซอร์ LastPass
  • SIK-2016-024: อ่านวันส่วนตัว (Stored Masterpassword) จาก LastPass Password Manager

พบช่องโหว่สี่รายการใน Dashlane ซึ่งเป็นโปรแกรมจัดการรหัสผ่านยอดนิยมอีกรายการหนึ่ง ช่องโหว่เหล่านี้อนุญาตให้ผู้โจมตีสามารถอ่านข้อมูลส่วนตัวจากโฟลเดอร์แอปรั่วไหลของข้อมูลที่ไม่เหมาะสมและเรียกใช้การโจมตีเพื่อแยกรหัสผ่านหลัก

  • SIK-2016-028: อ่านข้อมูลส่วนตัวจากโฟลเดอร์แอพใน Dashlane Password Manager
  • SIK-2016-029: การรั่วไหลของข้อมูลการค้นหาของ Google ในเบราว์เซอร์ตัวจัดการรหัสผ่าน Dashlane
  • SIK-2016-030: การโจมตีที่เหลือจากการดึงข้อมูลรหัสผ่านจากเครื่องมือจัดการรหัสผ่าน Dashlane
  • SIK-2016-031: การรั่วไหลของรหัสผ่านโดเมนย่อยในเบราว์เซอร์ตัวจัดการรหัสผ่าน Dashlane ภายใน

แอปพลิเคชัน 1Password ยอดนิยมสี่ Android มีช่องโหว่ห้าจุดรวมถึงปัญหาเรื่องความลับและการรั่วไหลของรหัสผ่าน

  • SIK-2016-038: การรั่วไหลของรหัสผ่านโดเมนย่อยในเบราว์เซอร์ภายใน 1Password
  • SIK-2016-039: ให้ลดระดับ http เป็น http URL โดยค่าเริ่มต้นใน 1Password Internal Browser
  • SIK-2016-040: ชื่อเรื่องและ URL ที่ไม่ได้เข้ารหัสในฐานข้อมูล 1Password
  • SIK-2016-041: อ่านข้อมูลส่วนตัวจากโฟลเดอร์แอพใน 1Password Manager
  • SIK-2016-042: ปัญหาความเป็นส่วนตัว, ข้อมูลที่รั่วไหลไปยังผู้ขาย 1Password Manager

คุณสามารถตรวจสอบรายการทั้งหมดของแอพที่วิเคราะห์และช่องโหว่ได้ที่เว็บไซต์ของ Fraunhofer Institute

หมายเหตุ : ช่องโหว่ที่เปิดเผยทั้งหมดได้รับการแก้ไขโดย บริษัท ที่พัฒนาแอปพลิเคชัน การแก้ไขบางอย่างยังอยู่ในระหว่างการพัฒนา ขอแนะนำให้คุณอัปเดตแอปพลิเคชันโดยเร็วที่สุดหากคุณเรียกใช้แอปพลิเคชันบนอุปกรณ์มือถือของคุณ

บทสรุปของทีมวิจัยค่อนข้างร้ายแรง:

ขณะนี้แสดงให้เห็นว่าแม้ฟังก์ชั่นพื้นฐานที่สุดของตัวจัดการรหัสผ่านมักจะมีช่องโหว่ แต่แอพเหล่านี้ยังมีคุณสมบัติเพิ่มเติมซึ่งสามารถส่งผลกระทบต่อความปลอดภัยอีกครั้ง เราพบว่าตัวอย่างเช่นฟังก์ชั่นเติมอัตโนมัติสำหรับแอปพลิเคชันอาจถูกละเมิดเพื่อขโมยความลับที่เก็บไว้จากแอปพลิเคชันตัวจัดการรหัสผ่านโดยใช้การโจมตีแบบ "ซ่อนฟิชชิง" เพื่อสนับสนุนการกรอกแบบฟอร์มรหัสผ่านอัตโนมัติในหน้าเว็บที่ดีขึ้นแอปพลิเคชั่นบางตัวมีเว็บเบราว์เซอร์ของตนเอง เบราว์เซอร์เหล่านี้เป็นแหล่งที่มาเพิ่มเติมของช่องโหว่เช่นความเป็นส่วนตัวรั่วไหล

ตอนนี้คุณ : คุณใช้แอปพลิเคชั่นตัวจัดการรหัสผ่านหรือไม่? (ผ่านทาง Hacker News)