Fraunhofer-instituutin turvallisuustutkijat havaitsivat vakavia tietoturvaongelmia yhdeksässä Androidin salasananhallinnassa, joita he analysoivat osana tutkimusta.
Salasananhallinnat ovat suosittu vaihtoehto, kun on kyse todennustietojen tallentamisesta. Kaikki lupaavat turvallisen tallennuksen joko paikallisesti tai etäyhteydessä, ja jotkut saattavat lisätä joukkoon muita ominaisuuksia, kuten salasanan luominen, automaattiset kirjautumiset tai tärkeiden tietojen, kuten luottokorttinumeroiden tai pin-tietojen tallentaminen.
Fraunhofer-instituutin äskettäisessä tutkimuksessa tarkasteltiin yhdeksää salasananhallintaa Googlen Android-käyttöjärjestelmälle turvallisuuden kannalta. Tutkijat analysoivat seuraavia salasanan hallintaohjelmia: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper ja Avast.
Joissakin sovelluksista on yli 50 miljoonaa asennusta ja kaikissa vähintään 100 000 asennusta.
Salasananhallinnat Android-tietoturva-analyysissä
Joukkueen päätelmässä pitäisi olla ketään huolestuttavaa, joka ottaa käyttöön salasananhallinnan Androidilla. Vaikka on epäselvää, onko myös muissa Androidin salasananhallintasovelluksissa haavoittuvuuksia, on ainakin mahdollista, että näin on.
Kokonaistulokset olivat erittäin huolestuttavia ja paljastivat, että salasananhallintasovellukset eivät väitteistään huolimatta tarjoa tarpeeksi suojamekanismeja tallennetuille salasanoille ja valtuustiedoille. Sen sijaan he väärinkäyttävät käyttäjien luottamusta ja altistavat heidät suurille riskeille.
Jokaisessa tutkijoiden analysoimassa sovelluksessa tunnistettiin ainakin yksi tietoturvahaavoittuvuus. Tämä meni niin pitkälle, että jotkut sovellukset tallensivat pääavaimen yksinkertaisessa tekstissä ja toiset käyttivät koodattuja salausavaimia koodissa. Toisessa tapauksessa yksinkertaisen auttajasovelluksen asennus erotti salasanasovelluksen tallentamat salasanat.
Pelkästään LastPass-ohjelmassa havaittiin kolme haavoittuvuutta. Ensin koodattu pääavain, sitten tiedot vuotavat selainhaussa, ja lopuksi viimeisimmän Android 4.0.x -käyttöjärjestelmän (tai sitä uudemman version) last haavoittuvuus, jonka avulla hyökkääjät voivat varastaa tallennetun pääsalasanan.
- SIK-2016-022: koodattu pääavain LastPass Password Manager -sovelluksessa
- SIK-2016-023: Tietosuoja, tietovuodot LastPass-selainhaussa
- SIK-2016-024: Lue yksityinen päivämäärä (tallennettu pääsalasana) LastPass Password Managerilta
Dashlane, toinen suosittu salasananhallintasovellus, havaitsi neljä haavoittuvuutta. Nämä haavoittuvuudet antoivat hyökkääjät lukea yksityisiä tietoja sovelluskansiosta, väärinkäytötietovuotoja ja suorittaa hyökkäyksen pääsalasanan purkamiseksi.
- SIK-2016-028: Lue yksityiset tiedot sovelluskansiosta Dashlane Password Manager -sovelluksessa
- SIK-2016-029: Google-hakutietojen vuotaminen Dashlane Password Manager -selaimessa
- SIK-2016-030: Jäännöshyökkäys Masterpasswordin purkaminen Dashlane Password Managerista
- SIK-2016-031: Aliverkkotunnuksen salasanan vuotaminen sisäisessä Dashlane-salasananhallintaselaimessa
Suositussa 1Password-sovelluksessa neljällä Androidilla oli viisi haavoittuvuutta, mukaan lukien tietosuojaongelmat ja salasanan vuotaminen.
- SIK-2016-038: Aliverkkotunnuksen salasanan vuotaminen 1-salasanan sisäisessä selaimessa
- SIK-2016-039: Https alentaa oletusarvoisesti http URL-osoitteeksi 1Password sisäisessä selaimessa
- SIK-2016-040: Otsikot ja URL-osoitteet, joita ei ole salattu 1Password-tietokannassa
- SIK-2016-041: Lue yksityiset tiedot sovelluskansiosta 1Password Manager -sovelluksessa
- SIK-2016-042: Tietosuojaongelma, tiedot vuotaneet toimittajalle 1Password Manager
Voit tarkistaa täydellisen luettelon analysoiduista sovelluksista ja haavoittuvuuksista Fraunhofer-instituutin verkkosivustolla.
Huomaa : Sovelluksia kehittävät yritykset ovat korvanneet kaikki paljastetut haavoittuvuudet. Jotkut korjaukset ovat vielä kehitteillä. On suositeltavaa päivittää sovellukset mahdollisimman pian, jos ajat niitä mobiililaitteilla.
Tutkimusryhmän johtopäätös on melko tuhoisa:
Vaikka tämä osoittaa, että jopa salasananhallinnan kaikkein perustoiminnot ovat usein haavoittuvia, nämä sovellukset tarjoavat myös lisäominaisuuksia, jotka voivat taas vaikuttaa turvallisuuteen. Havaitsimme, että esimerkiksi sovellusten automaattisen täytön toimintoja voidaan käyttää väärin varastaakseen tallennettuja salaisuuksia salasananhallintasovelluksesta käyttämällä ”piilotettujen tietojen kalastelu” -hyökkäyksiä. Jotkin sovellukset tarjoavat omat selaimensa paremman tuen verkkosivujen salasanan automaattiseen täyttämiselle. Nämä selaimet ovat ylimääräinen haavoittuvuuksien, kuten tietosuojavuotojen, lähde.
Nyt sinä : Käytätkö salasananhallintasovellusta? (The Hacker News -sivuston kautta)
