Sikkerheten til flere populære passordapper var langt under pari

Forskere ved TeamSIK-gruppen til tyske Fraunhofer Institute for Secure Information Technology har studert sikkerheten til de ni mest populære Android-appene for passordadministrasjon: MyPasswords, Informaticore Password Manager, LastPass, Keeper, F-Secure KEY Password Manager, Dashlane Password Manager, Hide Pictures Keep Safe Vault, Avast Passwords og 1Password.


The Register var blant de første til å omtale undersøkelsen.

Detaljene fra undersøkelsen har ennå ikke blitt offentliggjort, kanskje først og fremst fordi forskerne har villet gi leverandørene av de ni produktene tid til å rette i alt 26 konkrete sårbarheter som ble funnet. Men forskerne har ikke holdt igjen den generelle omtalen av funnene.


Ekstremt bekymringsfullt

Den overordnede hensikten med undersøkelsen var å se om det til tross for løfter om sikkerhet på bank- eller forsvarsnivå, var mulig å få tilgang til innloggingsinformasjonen som verktøyene skal ta vare på.

– De generelle resultatene var ekstremt bekymringsfulle og avslørte at passordadministrasjonsappene, til tross for påstandene, ikke tilbød tilstrekkelige beskyttelsesmekanismer for den lagrede innloggingsinformasjonen. I stedet misbruker de brukernes tillit og utsetter dem for stor risiko, heter det i en oppsummering av prosjektet.

Forskerne fant en rekke alvorlige sårbarheter som skyldtes implementeringsfeil i den grunnleggende funksjonaliteten. Blant annet var det applikasjoner som lagret hovedpassordet i klartekst. Andre tok i bruk krypteringsnøkler som var hardkodet i programvarekoden. I begge tilfeller ville det være relativt enkelt for ondsinnede med tilgang til enheten å omgå krypteringsalgoritmen og å få tilgang til de lagrede brukerdataene. I andre tilfeller var det også mulig for forskerne å få tilgang til all innloggingsinformasjonen ved hjelp av en separat app. Dette kan potensielt være en trojaner som kan sende informasjonen videre til en angriper.


Utklippstavlen

I tillegg var det mange av appene som fullstendig ignorerte muligheten for «clipboard sniffing», altså kopiering av informasjonen som midlertidig har blitt lagret i utklippstavlen. Forskerne mener at appene burde slette innholdet i utklippstavlen etter innloggingsinformasjon har blitt kopiert dit.

    Del

    Kommentarer