Beveiligingsproblemen gevonden in negen wachtwoordbeheerders voor Android (LastPass, Dashlane ..)

• Categorie: Veiligheid

Probeer Ons Instrument Voor Het Oplossen Van Problemen

Selecteer Het Besturingssysteem Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Kies Een Projectieprogramma (Optioneel) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beschrijf Uw Probleem

Krijg Een Antwoord

Stuur Me Per E -Mail Toon Op De Site

Beveiligingsonderzoekers van het Fraunhofer Instituut ontdekten ernstige beveiligingsproblemen bij negen wachtwoordbeheerders voor Android die ze analyseerden als onderdeel van hun onderzoek.

Wachtwoordmanagers zijn een populaire optie als het gaat om het opslaan van authenticatiegegevens. Alle beloven veilige opslag, lokaal of op afstand, en sommige kunnen andere functies aan de mix toevoegen, zoals het genereren van wachtwoorden, automatische aanmeldingen of het opslaan van belangrijke gegevens zoals creditcardnummers of pinnen.

In een recent onderzoek van het Fraunhofer-instituut werd vanuit beveiligingsoogpunt gekeken naar negen wachtwoordbeheerders voor het Android-besturingssysteem van Google. De onderzoekers analyseerden de volgende wachtwoordmanagers: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper en Avast Passwords.

Sommige apps hebben meer dan 50 miljoen installaties en allemaal minstens 100.000 installaties.

Wachtwoordmanagers op Android-beveiligingsanalyse

De conclusie van het team zou iedereen ongerust moeten maken die een wachtwoordbeheerder op Android implementeert. Hoewel het onduidelijk is of andere applicaties voor wachtwoordbeheer voor Android ook kwetsbaarheden hebben, is er in ieder geval een kans dat dit inderdaad het geval is.

De algemene resultaten waren buitengewoon zorgwekkend en toonden aan dat wachtwoordbeheertoepassingen, ondanks hun beweringen, niet voldoende beschermingsmechanismen bieden voor de opgeslagen wachtwoorden en inloggegevens. In plaats daarvan misbruiken ze het vertrouwen van de gebruikers en stellen ze hen bloot aan hoge risico's.

In elk van de apps die de onderzoekers hebben geanalyseerd, is ten minste één beveiligingslek geïdentificeerd. Dit ging zo ver dat sommige toepassingen de hoofdsleutel in platte tekst opslaan, en andere die hardgecodeerde cryptografische sleutels in code gebruikten. In een ander geval heeft de installatie van een eenvoudige helper-applicatie de wachtwoorden geëxtraheerd die zijn opgeslagen door de wachtwoord-applicatie.

Alleen al in LastPass zijn drie kwetsbaarheden geïdentificeerd. Eerst een hardgecodeerde hoofdsleutel, vervolgens datalekken bij het zoeken in de browser en tot slot een kwetsbaarheid die LastPass op Android 4.0.x en lager treft, waardoor aanvallers het opgeslagen hoofdwachtwoord kunnen stelen.

• SIK-2016-022: Hardgecodeerde hoofdsleutel in LastPass Password Manager
• SIK-2016-023: Privacy, datalekken in LastPass Browser Search
• SIK-2016-024: Privédatum lezen (opgeslagen hoofdwachtwoord) van LastPass Password Manager

Vier kwetsbaarheden werden geïdentificeerd in Dashlane, een andere populaire applicatie voor wachtwoordbeheer. Door deze kwetsbaarheden konden aanvallers privégegevens uit de app-map lezen, informatielekken misbruiken en een aanval uitvoeren om het hoofdwachtwoord te extraheren.

• SIK-2016-028: Privégegevens lezen uit de app-map in Dashlane Password Manager
• SIK-2016-029: Google-zoekinformatie lekt in de Dashlane Password Manager-browser
• SIK-2016-030: Residu-aanval waarbij hoofdwachtwoord wordt geëxtraheerd uit Dashlane Password Manager
• SIK-2016-031: Lekkage van subdomeinwachtwoord in interne Dashlane Password Manager-browser

De populaire 1Password-applicatie vier Android had vijf kwetsbaarheden, waaronder privacyproblemen en het lekken van wachtwoorden.

• SIK-2016-038: Lekkage van subdomeinwachtwoord in interne 1Password-browser
• SIK-2016-039: Https downgraden standaard naar http URL in 1Password Internal Browser
• SIK-2016-040: Titels en URL's niet versleuteld in 1Password Database
• SIK-2016-041: Lees privégegevens uit de app-map in 1Password Manager
• SIK-2016-042: privacyprobleem, informatie gelekt naar leverancier 1Password Manager

U kunt de volledige lijst met apps geanalyseerd en de kwetsbaarheden op de website van het Fraunhofer Instituut.

Notitie : Alle onthulde kwetsbaarheden zijn verholpen door de bedrijven die de applicaties ontwikkelen. Sommige oplossingen zijn nog in ontwikkeling. Het wordt aanbevolen om de applicaties zo snel mogelijk bij te werken als u ze op uw mobiele apparaten uitvoert.

De conclusie van het onderzoeksteam is behoorlijk verwoestend:

Hoewel dit aantoont dat zelfs de meest elementaire functies van een wachtwoordbeheerder vaak kwetsbaar zijn, bieden deze apps ook extra functies, die wederom de beveiliging kunnen beïnvloeden. We ontdekten dat bijvoorbeeld auto-fill-functies voor applicaties kunnen worden misbruikt om de opgeslagen geheimen van de wachtwoordbeheertoepassing te stelen met behulp van 'verborgen phishing' -aanvallen. Voor een betere ondersteuning van het automatisch invullen van wachtwoordformulieren op webpagina's, bieden sommige toepassingen hun eigen webbrowser. Deze browsers zijn een extra bron van kwetsbaarheden, zoals lekken van privacy.

Nu jij : Gebruikt u een applicatie voor wachtwoordbeheer? (via The Hacker News )