Specjaliści z niemieckiego Instytutu Fraunhofer poddali analizie popularne programy do przechowywania i generowania haseł dla systemu Android. Wnioski, które zawarte są w raporcie nie napawają optymizmem na przyszłość – większość znanych i cenionych przez użytkowników programów posiadało co najmniej kilka poważnych luk w zabezpieczeniach, które mogły doprowadzić do ujawnienia poufnych danych uwierzytelniających – słowo „posiadało” zostało napisane w czasie przeszłym, ponieważ informacje o problemach zostały już przekazane ich producentom i naprawione z dniem 1 marca.
Wśród przetestowanych aplikacji znaleźć można było takie, których ilość pobrań liczona jest w milionach, a do najpoważniejszych błędów należało przechowywanie skopiowanych do schowka haseł, podatność na ataki phishingowe, man-in-the-middle i korzystanie z nieszyfrowanych protokołów.
Menadżery haseł, które poddano audytowi:
- LastPass,
- 1Password,
- My Passwords,
- Dashlane Password Manager,
- Informaticore’s Password Manager,
- F-Secure KEY,
- Keepsafe,
- Keeper
- Avast Passwords
Do przechowywania naprawdę poufnych danych, jak również do ochrony przed phishingiem, w którym możliwe jest przechwycenie hasła, polecamy lekturę na temat kluczy Yubikey.
Chyba najbardziej karygodnym błędem w zabezpieczeniach jest przechowywanie hasła-master służącego do odblokowywania całego magazynu haseł, w postaci jawnego tekstu. W takim przypadku istniało duże prawdopodobieństwo, że komuś mogło się udać pokonać kryptograficzne zabezpieczenia wykorzystując amatorski błąd, od którego nie był wolny F-Secure KEY. Ten menadżer haseł w wersji 4.2.8 od znanego fińskiego producenta przechowywał hasło główne w katalogu aplikacji w pliku XML:
/data/data/com.fsecure.key/shared_prefs/KeyStorage.xml
Jeśli osoba atakująca uzyskałaby dostęp do urządzenia z podwyższonymi uprawnieniami, hasło główne byłoby łatwo dostępne. Sytuacja taka mogłaby wystąpić na skutek zainstalowania trojana lub zgubienia urządzenia. Podobny błąd w zabezpieczeniach posiadała aplikacja Informaticore Password Manager, z tą różnicą, że o ile hasło główne było zaszyfrowane, to klucz wymagany do jego odszyfrowania był zapisany w kodzie aplikacji.
Od błędów mniejszych i większych nie uchowały się inne, również popularne menadżery haseł:
MyPasswords: zintegrowany z Androidem HTMLViewer mógł być wykorzystany do przeczytania prywatnych danych z lokalnego folderu aplikacji. Jednak zdecydowanie poważniejszy błąd dotyczył kradzieży zaszyfrowanego hasła „master”, które w wyniku wykorzystania podatności mogło być odszyfrowane i odczytane.
Trzy poważne błędy zawierała aplikacja LastPass. Pierwszy dotyczył przechowywania hasła-master w kodzie aplikacji, które mogło zostać odczytane po wykorzystaniu exploita. Do listy karygodnych błędów należy dopisać podatność przeglądarki LastPass na ataki man-in-the-middle i możliwość odczytania głównego hasła zabezpieczającego w starszych wersjach Androida (podatności zidentyfikowane w Androidzie 4.1 i starszych).
Chyba najbardziej dziurawymi menadżerami haseł okazały się programy Avast Passwords i 1Password – Password Manager. Producent od antywirusów znowu się nie popisał (polecamy nasz test ochrony modułów do bankowości internetowej) pozwalając na uzyskanie dostępu do danych uwierzytelniających użytkownika w wyniku:
- korzystania z szablonów do tworzenia haseł w zdefiniowanych adresach HTTP (niezabezpieczonych i podatnych na sniffowanie),
- korzystania z nieszyfrowanej komunikacji (backend HTTPS), która jest podatna na ataki przechwytywania danych w obrębie sieci bezprzewodowej.
Jeśli chodzi o aplikację 1Password – Password Manager w wersji 6.3.3, to:
- Nie rozróżnia ona subdomen. Oznacza to, że jeśli atakujący jest w stanie zarejestrować subdomenę w obrębie domeny pierwszego poziomu, to może uzyskać do niej hasło.
- Przeglądarka 1Password Internal Browser nie rozpoznaje automatycznie adresów HTTPS. Wejście z „palucha” na stronę google.com spowoduje jej wczytanie nieszyfrowanym protokołem (http://google.com).
- Ta sama przeglądarka umożliwia kradzież plików z prywatnego katalogu aplikacji.
- Utworzone poświadczenia wymagane do logowania się do danej domeny są wysyłane do serwera producenta.
Jeżeli kogoś jeszcze dziwią tak rażące błędy w aplikacjach do przechowywania haseł, to co powiecie na znacznie bardziej karygodne naruszenia podstawowych zasad bezpieczeństwa w aplikacjach do internetowej bankowości?
