Popularne menadżery haseł na Androida zawierają poważne błędy w swoich zabezpieczeniach

6 marca, 2017

Specjaliści z niemieckiego Instytutu Fraunhofer poddali analizie popularne programy do przechowywania i generowania haseł dla systemu Android. Wnioski, które zawarte są w raporcie nie napawają optymizmem na przyszłość – większość znanych i cenionych przez użytkowników programów posiadało co najmniej kilka poważnych luk w zabezpieczeniach, które mogły doprowadzić do ujawnienia poufnych danych uwierzytelniających – słowo „posiadało” zostało napisane w czasie przeszłym, ponieważ informacje o problemach zostały już przekazane ich producentom i naprawione z dniem 1 marca.

Wśród przetestowanych aplikacji znaleźć można było takie, których ilość pobrań liczona jest w milionach, a do najpoważniejszych błędów należało przechowywanie skopiowanych do schowka haseł, podatność na ataki phishingowe, man-in-the-middle i korzystanie z nieszyfrowanych protokołów.

Menadżery haseł, które poddano audytowi:

  • LastPass,
  • 1Password,
  • My Passwords,
  • Dashlane Password Manager,
  • Informaticore’s Password Manager,
  • F-Secure KEY,
  • Keepsafe,
  • Keeper
  • Avast Passwords

Do przechowywania naprawdę poufnych danych, jak również do ochrony przed phishingiem, w którym możliwe jest przechwycenie hasła, polecamy lekturę na temat kluczy Yubikey.

Chyba najbardziej karygodnym błędem w zabezpieczeniach jest przechowywanie hasła-master służącego do odblokowywania całego magazynu haseł, w postaci jawnego tekstu. W takim przypadku istniało duże prawdopodobieństwo, że komuś mogło się udać pokonać kryptograficzne zabezpieczenia wykorzystując amatorski błąd, od którego nie był wolny F-Secure KEY. Ten menadżer haseł w wersji 4.2.8 od znanego fińskiego producenta przechowywał hasło główne w katalogu aplikacji w pliku XML:

/data/data/com.fsecure.key/shared_prefs/KeyStorage.xml

Jeśli osoba atakująca uzyskałaby dostęp do urządzenia z podwyższonymi uprawnieniami, hasło główne byłoby łatwo dostępne. Sytuacja taka mogłaby wystąpić na skutek zainstalowania trojana lub zgubienia urządzenia. Podobny błąd w zabezpieczeniach posiadała aplikacja Informaticore Password Manager, z tą różnicą, że o ile hasło główne było zaszyfrowane, to klucz wymagany do jego odszyfrowania był zapisany w kodzie aplikacji.

Od błędów mniejszych i większych nie uchowały się inne, również popularne menadżery haseł:

MyPasswords: zintegrowany z Androidem HTMLViewer mógł być wykorzystany do przeczytania prywatnych danych z lokalnego folderu aplikacji. Jednak zdecydowanie poważniejszy błąd dotyczył kradzieży zaszyfrowanego hasła „master”, które w wyniku wykorzystania podatności mogło być odszyfrowane i odczytane.

Trzy poważne błędy zawierała aplikacja LastPass. Pierwszy dotyczył przechowywania hasła-master w kodzie aplikacji, które mogło zostać odczytane po wykorzystaniu exploita. Do listy karygodnych błędów należy dopisać podatność przeglądarki LastPass na ataki man-in-the-middle i możliwość odczytania głównego hasła zabezpieczającego w starszych wersjach Androida (podatności zidentyfikowane w Androidzie 4.1 i starszych).

Chyba najbardziej dziurawymi menadżerami haseł okazały się programy Avast Passwords1Password – Password Manager. Producent od antywirusów znowu się nie popisał (polecamy nasz test ochrony modułów do bankowości internetowej) pozwalając na uzyskanie dostępu do danych uwierzytelniających użytkownika w wyniku:

  • korzystania z szablonów do tworzenia haseł w zdefiniowanych adresach HTTP (niezabezpieczonych i podatnych na sniffowanie),
  • korzystania z nieszyfrowanej komunikacji (backend HTTPS), która jest podatna na ataki przechwytywania danych w obrębie sieci bezprzewodowej.

Jeśli chodzi o aplikację 1Password – Password Manager w wersji 6.3.3, to:

  • Nie rozróżnia ona subdomen. Oznacza to, że jeśli atakujący jest w stanie zarejestrować subdomenę w obrębie domeny pierwszego poziomu, to może uzyskać do niej hasło.
  • Przeglądarka 1Password Internal Browser nie rozpoznaje automatycznie adresów HTTPS. Wejście z „palucha” na stronę google.com spowoduje jej wczytanie nieszyfrowanym protokołem (http://google.com).
  • Ta sama przeglądarka umożliwia kradzież plików z prywatnego katalogu aplikacji.
  • Utworzone poświadczenia wymagane do logowania się do danej domeny są wysyłane do serwera producenta.

Jeżeli kogoś jeszcze dziwią tak rażące błędy w aplikacjach do przechowywania haseł, to co powiecie na znacznie bardziej karygodne naruszenia podstawowych zasad bezpieczeństwa w aplikacjach do internetowej bankowości?

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]