Các vấn đề bảo mật được tìm thấy trong chín trình quản lý mật khẩu dành cho Android (LastPass, Dashlane ..)
- Thể LoạI: Bảo Vệ
Các nhà nghiên cứu bảo mật của Viện Fraunhofer đã tìm thấy các vấn đề bảo mật nghiêm trọng trong 9 trình quản lý mật khẩu cho Android mà họ đã phân tích như một phần của nghiên cứu.
Trình quản lý mật khẩu là một lựa chọn phổ biến khi lưu trữ thông tin xác thực. Tất cả đều hứa hẹn lưu trữ an toàn cục bộ hoặc từ xa, và một số có thể thêm các tính năng khác vào hỗn hợp như tạo mật khẩu, đăng nhập tự động hoặc lưu dữ liệu quan trọng như số Thẻ tín dụng hoặc Ghim.
Một nghiên cứu gần đây của Viện Fraunhofer đã xem xét 9 trình quản lý mật khẩu cho hệ điều hành Android của Google từ quan điểm bảo mật. Các nhà nghiên cứu đã phân tích các trình quản lý mật khẩu sau: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper và Avast Passwords.
Một số ứng dụng có hơn 50 triệu lượt cài đặt và tất cả ít nhất 100.000 lượt cài đặt.
Trình quản lý mật khẩu trên phân tích bảo mật Android
Kết luận của nhóm sẽ khiến bất kỳ ai lo lắng về những người triển khai trình quản lý mật khẩu trên Android. Mặc dù vẫn chưa rõ liệu các ứng dụng quản lý mật khẩu khác dành cho Android có lỗ hổng hay không, nhưng ít nhất có khả năng là trường hợp này thực sự xảy ra.
Kết quả chung là vô cùng đáng lo ngại và tiết lộ rằng các ứng dụng quản lý mật khẩu, mặc dù có tuyên bố, nhưng không cung cấp đủ cơ chế bảo vệ cho mật khẩu và thông tin đăng nhập được lưu trữ. Thay vào đó, họ lạm dụng lòng tin của người dùng và khiến họ gặp rủi ro cao.
Các nhà nghiên cứu đã phân tích ít nhất một lỗ hổng bảo mật trong mỗi ứng dụng. Điều này đã tiến xa khi một số ứng dụng lưu trữ khóa chính dưới dạng văn bản thuần túy và những ứng dụng khác sử dụng khóa mật mã được mã hóa cứng trong mã. Trong một trường hợp khác, việc cài đặt một ứng dụng trợ giúp đơn giản đã trích xuất các mật khẩu được ứng dụng mật khẩu lưu trữ.
Ba lỗ hổng đã được xác định chỉ trong LastPass. Đầu tiên là khóa chính được mã hóa cứng, sau đó dữ liệu bị rò rỉ trong tìm kiếm của trình duyệt và cuối cùng là lỗ hổng ảnh hưởng đến LastPass trên Android 4.0.x trở xuống cho phép kẻ tấn công đánh cắp mật khẩu chính được lưu trữ.
- SIK-2016-022: Khóa chính được mã hóa cứng trong Trình quản lý mật khẩu LastPass
- SIK-2016-023: Quyền riêng tư, Rò rỉ dữ liệu trong Tìm kiếm Trình duyệt LastPass
- SIK-2016-024: Đọc ngày riêng tư (Mật khẩu chính được lưu trữ) từ Trình quản lý mật khẩu LastPass
Bốn lỗ hổng đã được xác định trong Dashlane, một ứng dụng quản lý mật khẩu phổ biến khác. Những lỗ hổng này cho phép kẻ tấn công đọc dữ liệu riêng tư từ thư mục ứng dụng, rò rỉ thông tin lạm dụng và thực hiện cuộc tấn công để lấy mật khẩu chính.
- SIK-2016-028: Đọc dữ liệu cá nhân từ thư mục ứng dụng trong trình quản lý mật khẩu Dashlane
- SIK-2016-029: Rò rỉ thông tin tìm kiếm của Google trong trình duyệt quản lý mật khẩu Dashlane
- SIK-2016-030: Tấn công dư lượng Trích xuất Masterpassword từ Trình quản lý mật khẩu Dashlane
- SIK-2016-031: Rò rỉ mật khẩu miền phụ trong trình duyệt quản lý mật khẩu Dashlane nội bộ
Ứng dụng 1Password phổ biến bốn Android có năm lỗ hổng bao gồm các vấn đề về tính riêng tư và rò rỉ mật khẩu.
- SIK-2016-038: Rò rỉ mật khẩu miền phụ trong trình duyệt nội bộ 1 mật khẩu
- SIK-2016-039: Https hạ cấp xuống URL http theo mặc định trong Trình duyệt nội bộ 1Password
- SIK-2016-040: Tiêu đề và URL không được mã hóa trong cơ sở dữ liệu mật khẩu 1
- SIK-2016-041: Đọc dữ liệu cá nhân từ thư mục ứng dụng trong 1Password Manager
- SIK-2016-042: Vấn đề về quyền riêng tư, Thông tin bị rò rỉ cho nhà cung cấp 1Password Manager
Bạn có thể kiểm tra danh sách đầy đủ các ứng dụng đã phân tích và các lỗ hổng trên trang web của Viện Fraunhofer.
Ghi chú : Tất cả các lỗ hổng được tiết lộ đã được sửa bởi các công ty phát triển ứng dụng. Một số bản sửa lỗi vẫn đang được phát triển. Bạn nên cập nhật các ứng dụng càng sớm càng tốt nếu bạn chạy chúng trên thiết bị di động của mình.
Kết luận của nhóm nghiên cứu khá tàn khốc:
Mặc dù điều này cho thấy rằng ngay cả các chức năng cơ bản nhất của trình quản lý mật khẩu cũng thường dễ bị tấn công, nhưng các ứng dụng này cũng cung cấp các tính năng bổ sung, một lần nữa, có thể ảnh hưởng đến bảo mật. Chúng tôi nhận thấy rằng, ví dụ: các chức năng tự động điền cho các ứng dụng có thể bị lạm dụng để lấy cắp các bí mật được lưu trữ từ ứng dụng quản lý mật khẩu bằng các cuộc tấn công “lừa đảo ẩn”. Để hỗ trợ tốt hơn cho các biểu mẫu mật khẩu tự động điền vào các trang web, một số ứng dụng cung cấp trình duyệt web của riêng họ. Các trình duyệt này là một nguồn bổ sung của lỗ hổng bảo mật, chẳng hạn như rò rỉ quyền riêng tư.
Bây giờ bạn : Bạn có sử dụng ứng dụng quản lý mật khẩu không? (thông qua Tin tức về hacker )