Beveiligingsproblemen gevonden in negen wachtwoordbeheerders voor Android (LastPass, Dashlane ..)

Beveiligingsonderzoekers van het Fraunhofer-instituut vonden ernstige beveiligingsproblemen in negen wachtwoordbeheerders voor Android die ze analyseerden als onderdeel van hun onderzoek.

Wachtwoordbeheerders zijn een populaire optie als het gaat om het opslaan van authenticatie-informatie. Allen beloven veilige opslag, lokaal of op afstand, en sommige kunnen andere functies aan de mix toevoegen, zoals het genereren van wachtwoorden, automatische aanmeldingen of het opslaan van belangrijke gegevens zoals creditcardnummers of pinnen.

Een recent onderzoek van het Fraunhofer-instituut keek vanuit een oogpunt van veiligheid naar negen wachtwoordbeheerders voor het Android-besturingssysteem van Google. De onderzoekers analyseerden de volgende wachtwoordbeheerders: LastPass, 1Password, Mijn wachtwoorden, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper en Avast-wachtwoorden.

Sommige apps hebben meer dan 50 miljoen installaties en alle minstens 100.000 installaties.

Wachtwoordbeheerders op Android-beveiligingsanalyse

De conclusie van het team zou iedereen zorgen moeten maken die een wachtwoordbeheerder op Android implementeert. Hoewel het onduidelijk is of andere wachtwoordbeheer-applicaties voor Android ook kwetsbaarheden hebben, is er op zijn minst een kans dat dit inderdaad het geval is.

De algemene resultaten waren buitengewoon zorgwekkend en onthulden dat applicaties voor wachtwoordbeheer, ondanks hun claims, onvoldoende beveiligingsmechanismen bieden voor de opgeslagen wachtwoorden en referenties. In plaats daarvan misbruiken ze het vertrouwen van de gebruikers en stellen ze bloot aan hoge risico's.

Ten minste één beveiligingslek werd geïdentificeerd in elk van de apps die de onderzoekers analyseerden. Dit ging zo ver als sommige applicaties die de hoofdsleutel in platte tekst opslaan, en anderen die hard-gecodeerde cryptografische sleutels in code gebruiken. In een ander geval heeft de installatie van een eenvoudige hulpapplicatie de wachtwoorden opgehaald die zijn opgeslagen door de wachtwoordapplicatie.

Alleen in LastPass zijn drie kwetsbaarheden geïdentificeerd. Eerst een hardgecodeerde hoofdsleutel, vervolgens lekken gegevens in de browserzoekfunctie en tot slot een kwetsbaarheid die LastPass op Android 4.0.x en lager treft, waardoor aanvallers het opgeslagen hoofdwachtwoord kunnen stelen.

  • SIK-2016-022: Hardgecodeerde hoofdsleutel in LastPass Password Manager
  • SIK-2016-023: Privacy, gegevenslekkage bij LastPass Browser Search
  • SIK-2016-024: Lees privédatum (opgeslagen masterwachtwoord) van LastPass Password Manager

Vier kwetsbaarheden werden geïdentificeerd in Dashlane, een andere populaire applicatie voor wachtwoordbeheer. Door deze kwetsbaarheden konden aanvallers privégegevens uit de app-map lezen, lekken van informatie misbruiken en een aanval uitvoeren om het hoofdwachtwoord te extraheren.

  • SIK-2016-028: lees privégegevens uit app-map in Dashlane Password Manager
  • SIK-2016-029: Google Search Information Leakage in Dashlane Password Manager Browser
  • SIK-2016-030: Residueaanval Masterwachtwoord uit Dashlane Password Manager extraheren
  • SIK-2016-031: Subdomein Wachtwoordlekkage in interne Dashlane Password Manager Browser

De populaire 1Password-applicatie vier Android had vijf kwetsbaarheden, waaronder privacyproblemen en wachtwoordlekkage.

  • SIK-2016-038: Subdomein Wachtwoordlekkage in 1Password interne browser
  • SIK-2016-039: Https-downgrade naar http-URL standaard in 1Password Internal Browser
  • SIK-2016-040: Titels en URL's niet gecodeerd in 1Password-database
  • SIK-2016-041: lees privégegevens uit app-map in 1Password Manager
  • SIK-2016-042: Privacykwestie, informatie gelekt naar leverancier 1Password Manager

U kunt de volledige lijst met geanalyseerde apps en de kwetsbaarheden bekijken op de website van het Fraunhofer Institute.

Opmerking : alle bekendgemaakte kwetsbaarheden zijn verholpen door de bedrijven die de applicaties ontwikkelen. Sommige fixes zijn nog in ontwikkeling. Het wordt aanbevolen om de applicaties zo snel mogelijk bij te werken als u ze op uw mobiele apparaten uitvoert.

De conclusie van het onderzoeksteam is behoorlijk verwoestend:

Hoewel dit laat zien dat zelfs de meest elementaire functies van een wachtwoordbeheerder vaak kwetsbaar zijn, bieden deze apps ook extra functies, die wederom de beveiliging kunnen beïnvloeden. We hebben vastgesteld dat bijvoorbeeld functies voor automatisch invullen voor toepassingen kunnen worden misbruikt om de opgeslagen geheimen van de toepassing voor wachtwoordbeheer te stelen met behulp van "verborgen phishing-aanvallen". Voor een betere ondersteuning van het automatisch invullen van wachtwoordformulieren in webpagina's, bieden sommige applicaties hun eigen webbrowser. Deze browsers zijn een extra bron van kwetsbaarheden, zoals privacylekken.

Nu u : gebruikt u een applicatie voor wachtwoordbeheer? (via The Hacker News)