Ερευνητές ασφαλείας του Ινστιτούτου Fraunhofer διαπίστωσαν σοβαρά προβλήματα ασφάλειας σε εννέα password managers για Android όταν τους ανέλυσαν για την έρευνάς τους.
Τα password managers είναι δημοφιλείς εφαρμογές που χρησιμοποιούνται για την αποθήκευση πληροφοριών ελέγχου ταυτότητας. Όλες οι εφαρμογές που κυκλοφορούν αυτή τη στιγμή υπόσχονται ασφαλή αποθήκευση τοπικά (στον υπολογιστή σας, ή γενικότερα στο σύστημα που τις χρησιμοποιεί) ή αποθήκευση στο web κάπου σε ένα Cloud. Μερικές εφαρμογές έρχονται και με τις δύο επιλογές.
Μια πρόσφατη μελέτη από το Ινστιτούτο Fraunhofer ανέλυσε εννέα password managers για το λειτουργικό σύστημα Android της Google. Οι ερευνητές ανέλυσαν τις παρακάτω εφαρμογές:
LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper, και Avast Passwords.
Μερικές από τις αυτές έχουν περισσότερες από 50 εκατομμύρια εγκαταστάσεις.
Τα συμπεράσματα της ομάδας ήταν πολύ ανησυχητικά για τους χρήστες των συγκεκριμένων εφαρμογών στην πλατφόρμα του Android.
Η έρευνα αποκάλυψε ότι οι εφαρμογές αποθήκευση κωδικών πρόσβασης, παρά τους ισχυρισμούς τους, δεν παρέχουν ικανούς μηχανισμούς προστασίας, και μερικές φορές κάνουν κατάχρηση της εμπιστοσύνης των χρηστών εκθέτοντάς τους σε κίνδυνο.
Τρεις ευπάθειες εντοπίστηκαν μόνο στην εφαρμογή LastPass. Η πρώτη αφορά ένα hard-coded master key, η δεύτερη αναφέρει διαρροές δεδομένων μέσω του προγράμματος περιήγησης, και, τέλος, μια ευπάθεια που επηρεάζει το LastPass 4.0.x για Android και επιτρέπει σε hackers να κλέψουν τον κύριο αποθηκευμένο κωδικό πρόσβασης.
Τουλάχιστον ένα θέμα ευπάθειας ασφαλείας εντοπίστηκε σε κάθε μία από τις παραπάνω εφαρμογές που ανέλυσαν οι ερευνητές. Εκτός από τις τρεις παραπάνω που αναφέραμε και δεν παρατηρήθηκαν μόνο στην LastPass, εντοπίστηκε και μια άλλη περίπτωση που με την εγκατάσταση μιας απλής βοηθητικής εφαρμογής , η εξαγωγή των κωδικών πρόσβασης ήταν παιχνίδι.
Μπορείτε να διαβάσετε όλες τις ευπάθειες για κάθε μία από τις παραπάνω εφαρμογές από το παρακάτω link:
https://team-sik.org/trent_portfolio/password-manager-apps/
Να αναφέρουμε ότι μερικά από αυτά τα κενά ασφαλείας έχουν ήδη επιδιορθωθεί, ενώ μερικά άλλα είναι ακόμα υπό ανάπτυξη. Αυτό σημαίνει ότι θα πρέπει να είστε ιδιαίτερα προσεχτικοί αν χρησιμοποιείτε password managers στην πλατφόρμα του Android.
