Главная »
2017 »
Март »
3 » Небезопасное хранение данных в менеджерах паролей для платформы Android
02:08 Небезопасное хранение данных в менеджерах паролей для платформы Android |
Исследователи из группы TeamSIK опубликовали результаты проверки безопасности самых популярных менеджеров паролей для платформы Android. Менеджеры паролей часто рекомендуются как надёжный и безопасный способ хранения паролей с использованием гарантирующих конфеденциальность криптографических методов, но упускается то, что сам менеджер паролей является слабым звеном и может лишь создавать иллюзию защищённости, так как уязвимость в нём может привести к попаданию в руки злоумышленника сразу всех паролей. Например, какие бы надёжные криптографические методы не использовались для шифрования хранилища, их сведёт на нет шифрование мастер-пароля ключом, прописанным в коде приложения.
Для изучения были выбраны самые популярные по числу загрузок менеджеры паролей, представленные в каталоге Google Play. Результаты предпринятой проверки оказались плачевными и не лучше, чем при анализе VPN-приложений для Android - в 9 менеджерах паролей выявлены серьёзные уязвимости, позволяющие получить доступ к закрытой информации.
В том числе во многих приложениях мастер-пароль или ключ для его шифрования был доступен для извлечения, пароли хранились в открытом виде или не была обеспечена должная защита хранилища. Кроме того, приложения оказались не защищены от применения дополнительных снифферов ввода и не очищали буфер обмена после передачи через него пароля. Также отмечается достаточно длительный срок устранения выявленных проблем - о большинстве уязвимостей разработчикам было сообщено ещё осенью прошлого года, а исправления были выпущены лишь спустя несколько месяцев.
Наиболее интересные проблемы:
MyPasswords - возможность чтения закрытых данных и дешифрования мастер-пароля;
Informaticore/Mirsoft Password Manager - небезопасное хранение учётных записей, ключ для доступа к мастер-паролю был вшит в код приложения;
LastPass Password Manager - вшитый фиксированный универсальный ключ доступа, утечка данных при использовании поиска и возможность извлечения мастер пароля;
Keeper Password-Manager - возможность обхода контрольного вопроса и выполнение сброса мастер-пароля без аутентификации, возможность подстановки данных в защищённое хранилище без ввода мастер-пароля;
F-Secure KEY Password Manager - небезопасное хранение учётных записей, хранение мастер-пароля в открытом виде;
Dashlane Password Manager - возможность чтения закрытых данных из каталога приложения, возможность извлечения мастер-пароля и утечка паролей для поддоменов;
Hide Pictures Keep Safe Vault - хранение паролей в открытом виде;
Avast Passwords - получение информации о паролях через их утечку при автозаполнении форм, обращение к типовым страницам входа популярных сайтов без шифрвания по HTTP, передача данных на внешний бэкенд по HTTP;
1Password - возможность чтения закрытых данных из каталога приложения, вход по умолчанию по HTTP, хранение заголовков и URL без шифрования, утечка паролей для поддоменов.
|
Просмотров: 179 |
Добавил: muge
| Рейтинг: 0.0/0 |