Небезопасное хранение данных в девяти менеджерах паролей для платформы Android
Исследователи из группы TeamSIK опубликовали результаты проверки безопасности менеджеров паролей для платформы Android. Результаты оказались не лучше, чем при анализе VPN-приложений для Android - в 9 менеджерах паролей выявлены серьезные уязвимости, позволяющие получить доступ к закрытой информации. В том числе в некоторых приложениях мастер-пароль был доступен для извлечения, пароли хранились в открытом виде или не была обеспечена должная защита хранилища. Также отмечается достаточно длительный срок устранения выявленных проблем - о большинстве уязвимостей разработчикам было сообщено еще осенью прошлого года, а исправления были выпущены лишь спустя несколько месяцев.
Наиболее интересные проблемы:
- MyPasswords - возможность чтения закрытых данных и дешифрования мастер-пароля;
- Informaticore/Mirsoft Password Manager - небезопасное хранение учетных записей;
- LastPass Password Manager - вшитый фиксированный универсальный ключ доступа, утечка данных через функцию поиска и возможность извлечения мастер пароля;
- Keeper Passwort-Manager - возможность обхода контрольного вопроса и возможность подстановки данных в защищенное хранилище без ввода мастер-пароля;
- F-Secure KEY Password Manager - небезопасное хранение учетных записей и хранение мастер-пароля в открытом виде; https://play.google.com/store/apps/details?id=com.dashlane
- Dashlane Password Manager - возможность чтения закрытых данных из каталога приложения, возможность извлечения мастер-пароля и утечка паролей для поддоменов;
- Hide Pictures Keep Safe Vault - хранение паролей в открытом виде
- Avast Passwords - получение информации о паролях через из утечку при автозаполнении форм, обращение к типовым страницам входа популярных сайтов без шифрвания по HTTP, передача данных на внешний бэкенд по HTTP;
- 1Password - возможность чтения закрытых данных из каталога приложения, вход по умолчанию по HTTP, хранение заголовков и URL без шифрования, утечка паролей для поддоменов;