Pesquisadores de segurança do Instituto Fraunhofer encontraram graves problemas de segurança em nove gerenciadores de senhas para Android que eles analisaram como parte de sua pesquisa.
Os gerenciadores de senhas são uma opção popular quando se trata de armazenar informações de autenticação. Todos prometem armazenamento seguro local ou remotamente, e alguns podem adicionar outros recursos ao mix, como geração de senha, logon automático ou salvamento de dados importantes, como números de cartão de crédito ou Pins.
Um estudo recente do Instituto Fraunhofer analisou nove gerenciadores de senhas do sistema operacional Android do Google, do ponto de vista da segurança. Os pesquisadores analisaram os seguintes gerenciadores de senhas: LastPass, 1Password, Minhas Senhas, Dashlane Password Manager, Gerenciador de Senhas da Informaticore, F-Secure KEY, Keepsafe, Keeper e Avast Senhas.
Alguns dos aplicativos têm mais de 50 milhões de instalações e pelo menos 100.000 instalações.
Gerenciadores de senhas na análise de segurança do Android
A conclusão da equipe deve preocupar qualquer pessoa que implemente um gerenciador de senhas no Android. Embora não esteja claro se outros aplicativos de gerenciador de senhas para Android também têm vulnerabilidades, há pelo menos uma chance de que esse seja realmente o caso.
Os resultados gerais foram extremamente preocupantes e revelaram que os aplicativos de gerenciamento de senhas, apesar de suas reivindicações, não fornecem mecanismos de proteção suficientes para as senhas e credenciais armazenadas. Em vez disso, abusam da confiança dos usuários e os expõem a riscos elevados.
Pelo menos uma vulnerabilidade de segurança foi identificada em cada um dos aplicativos analisados pelos pesquisadores. Isso foi até alguns aplicativos que armazenam a chave mestra em texto sem formatação e outros usando chaves criptográficas codificadas no código. Em outro caso, a instalação de um aplicativo auxiliar simples extraiu as senhas armazenadas pelo aplicativo de senha.
Três vulnerabilidades foram identificadas apenas no LastPass. Primeiro, uma chave mestra codificada, depois os dados vazam na pesquisa do navegador e, finalmente, uma vulnerabilidade que afeta o LastPass no Android 4.0.xe inferior, o que permite que os invasores roubem a senha mestra armazenada.
- SIK-2016-022: Chave mestra codificada no LastPass Password Manager
- SIK-2016-023: Privacidade, vazamento de dados na pesquisa do navegador LastPass
- SIK-2016-024: Ler data privada (senha mestre armazenada) do LastPass Password Manager
Quatro vulnerabilidades foram identificadas no Dashlane, outro aplicativo popular de gerenciamento de senhas. Essas vulnerabilidades permitiram aos invasores ler dados particulares da pasta do aplicativo, abusar de vazamentos de informações e executar um ataque para extrair a senha mestre.
- SIK-2016-028: Ler dados privados da pasta do aplicativo no Dashlane Password Manager
- SIK-2016-029: vazamento de informações da Pesquisa Google no navegador Dashlane Password Manager
- SIK-2016-030: Ataque de resíduos que extrai a senha mestre do Dashlane Password Manager
- SIK-2016-031: Vazamento de senha de subdomínio no navegador interno do Dashlane Password Manager
O popular aplicativo 1Password para quatro Android tinha cinco vulnerabilidades, incluindo problemas de privação e vazamento de senha.
- SIK-2016-038: vazamento de senha de subdomínio no navegador interno 1Password
- SIK-2016-039: Https com downgrade para URL http por padrão no 1Password Internal Browser
- SIK-2016-040: títulos e URLs não criptografados no banco de dados 1Password
- SIK-2016-041: Ler dados privados da pasta do aplicativo no 1Password Manager
- SIK-2016-042: Problema de privacidade, informações vazadas para o fornecedor 1
Você pode conferir a lista completa de aplicativos analisados e as vulnerabilidades no site do Instituto Fraunhofer.
Nota : Todas as vulnerabilidades divulgadas foram corrigidas pelas empresas que desenvolvem os aplicativos. Algumas correções ainda estão em desenvolvimento. É recomendável atualizar os aplicativos o mais rápido possível, se você executá-los em seus dispositivos móveis.
A conclusão da equipe de pesquisa é bastante devastadora:
Embora isso mostre que mesmo as funções mais básicas de um gerenciador de senhas são frequentemente vulneráveis, esses aplicativos também fornecem recursos adicionais, que podem afetar novamente a segurança. Descobrimos que, por exemplo, as funções de preenchimento automático para aplicativos podem ser abusadas para roubar os segredos armazenados do aplicativo gerenciador de senhas usando ataques de "phishing oculto". Para um melhor suporte ao preenchimento automático de formulários de senha em páginas da Web, alguns dos aplicativos fornecem seus próprios navegadores. Esses navegadores são uma fonte adicional de vulnerabilidades, como vazamento de privacidade.
Agora você : Você usa um aplicativo gerenciador de senhas? (via The Hacker News)
