Главная » 2017 » Март » 3 » Небезопасное хранение данных в менеджерах паролей для платформы Android

---

02:08 Небезопасное хранение данных в менеджерах паролей для платформы Android

Исследователи из группы TeamSIK опубликовали результаты проверки безопасности самых популярных менеджеров паролей для платформы Android. Менеджеры паролей часто рекомендуются как надёжный и безопасный способ хранения паролей с использованием гарантирующих конфеденциальность криптографических методов, но упускается то, что сам менеджер паролей является слабым звеном и может лишь создавать иллюзию защищённости, так как уязвимость в нём может привести к попаданию в руки злоумышленника сразу всех паролей. Например, какие бы надёжные криптографические методы не использовались для шифрования хранилища, их сведёт на нет шифрование мастер-пароля ключом, прописанным в коде приложения. Для изучения были выбраны самые популярные по числу загрузок менеджеры паролей, представленные в каталоге Google Play. Результаты предпринятой проверки оказались плачевными и не лучше, чем при анализе VPN-приложений для Android - в 9 менеджерах паролей выявлены серьёзные уязвимости, позволяющие получить доступ к закрытой информации. В том числе во многих приложениях мастер-пароль или ключ для его шифрования был доступен для извлечения, пароли хранились в открытом виде или не была обеспечена должная защита хранилища. Кроме того, приложения оказались не защищены от применения дополнительных снифферов ввода и не очищали буфер обмена после передачи через него пароля. Также отмечается достаточно длительный срок устранения выявленных проблем - о большинстве уязвимостей разработчикам было сообщено ещё осенью прошлого года, а исправления были выпущены лишь спустя несколько месяцев. Наиболее интересные проблемы: MyPasswords - возможность чтения закрытых данных и дешифрования мастер-пароля; Informaticore/Mirsoft Password Manager - небезопасное хранение учётных записей, ключ для доступа к мастер-паролю был вшит в код приложения; LastPass Password Manager - вшитый фиксированный универсальный ключ доступа, утечка данных при использовании поиска и возможность извлечения мастер пароля; Keeper Password-Manager - возможность обхода контрольного вопроса и выполнение сброса мастер-пароля без аутентификации, возможность подстановки данных в защищённое хранилище без ввода мастер-пароля; F-Secure KEY Password Manager - небезопасное хранение учётных записей, хранение мастер-пароля в открытом виде; Dashlane Password Manager - возможность чтения закрытых данных из каталога приложения, возможность извлечения мастер-пароля и утечка паролей для поддоменов; Hide Pictures Keep Safe Vault - хранение паролей в открытом виде; Avast Passwords - получение информации о паролях через их утечку при автозаполнении форм, обращение к типовым страницам входа популярных сайтов без шифрвания по HTTP, передача данных на внешний бэкенд по HTTP; 1Password - возможность чтения закрытых данных из каталога приложения, вход по умолчанию по HTTP, хранение заголовков и URL без шифрования, утечка паролей для поддоменов.

1 2 3 4 5 Просмотров: 179 | Добавил: muge | Рейтинг: 0.0/0

Всего комментариев: 0