Менеджеры паролей представляют угрозу безопасности данных


TeamSIKКоманда исследователей TeamSIK Института безопасных информационных технологий Фраунгофера (Германия) провела анализ популярных менеджеров паролей (программы для генерирования и хранения паролей) на уязвимости. Результаты показали, что большинство из них представляют угрозу безопасности данных. Так, например, девять популярных менеджеров паролей для Android-устройств из магазина Google Play содержат одну или более уязвимостей.

Специалистами были проанализированы:

 

  • LastPass;
  • Keeper;
  • 1Password;
  • My Passwords;
  • Dashlane Password Manager;
  • Password Manager от Informaticore;
  • F-Secure KEY;
  • Keepsafe;
  • Avast Passwords.


Каждая программа была загружена из Google Play от 100 тыс. до 50 млн раз. В ходе исследования удалось установить, что ни одно приложение не обеспечивает надлежащую защиту хранящихся в них учетных данных.

В вышеупомянутых программах в общей сложности было обнаружено 26 уязвимостей, о которых исследователи уведомили производителей. До публикации результатов исследования все проблемы с безопасностью были исправлены.

Согласно отчету, многие приложения уязвимы к атакам перехвата данных, передаваемых между приложением и буфером обмена, и восстановлению остаточной информации. Некоторые из приложений хранят мастер-пароль в открытом виде или даже содержат ключи шифрования в своем коде. Например, LastPass и Password Manager от Informaticore - приложения хранят мастер-пароли в зашифрованном виде, но неизменяемые ключи шифрования содержатся в самом коде программ.

Кроме того, в некоторых случаях получить доступ к хранящимся в менеджерах паролей учетным данным можно, заразив устройство жертвы вредоносным ПО. Примечательно то, что злоумышленники могут проэксплуатировать уязвимости в приложениях даже без прав суперпользователя.


Обновлено (03.03.2017 01:12)