多款密码管理器应用程序的安全漏洞

关注 2017-12-06 11:47:04 查看数 8827 ,评论数 0 漏洞分析
你想生成一个安全密码有不同的策略。然而,最大的挑战之一是记住所有这些复杂的密码。密码管理器是一种存储所有敏感密码加密安全的应用程序。只有在用户输入主密码时,才能访问这些密码。一开始,密码管理器应用程序的要求看起来很简单:以安全和保密的方式集中存储用户的密码。然而密码管理应用程序,在Android上的实现得如何呢?应用程序供应商将其密码管理器应用程序宣传为“银行级”“军用级”安全。然而,用户可以确保他们的秘密实际上存储安全吗?尽管供应商的说法,是否仍然可以获得对存储凭证的访问? 为了回答这些问题,我们根据Google Play商店中下载次数最多最受欢迎的Android密码管理器应用执行了安全分析。总体结果是非常令人担忧,他们滥用用户的信心,没有提供足够的保护机制的存储的密码和凭据使他们面临高风险。 我们发现几个严重实施缺陷导致的安全漏洞。一些应用程序将输入的主密码以明文存储或在程序代码中暴露硬编码的密钥。因此,攻击者可以容易地完全绕过加密算法,从而获得对所有用户数据的访问。在其他情况下,我们可以在一个额外的应用程序的帮助下,简单地访问所有“安全保护的密码/凭据”。一旦安装在设备上,此恶意应用程序将以明文提取所有密码/凭据,并将其发送给攻击者。在另一种情况下,我们可以使用所谓的数据残留攻击来访问应用程序的主密钥。在大多数情况下,不需要root权限,就可以使我们能够访问敏感信息(例如上述主密码)的成功攻击。此外,许多应用程序完全忽略剪贴板嗅探的问题,这意味着在凭据已复制到剪贴板后没有清理。 虽然这表明即使密码管理器的最基本的功能往往是脆弱的,这些应用程序还提供了额外的功能,这可能会再次影响安全性。我们发现,例如,应用程序的自动填充功能可能会被滥用,以使用“隐藏的网络钓鱼”攻击从密码管理器应用程序窃取存储的密码。为了更好地支持在网页中自动填充密码表单,一些应用还提供了他们自己的网络浏览器。 我们发现的26个安全漏洞在下面已详细记录: !更新2017-03-01:所有漏洞报告都已经由供应商修复! MyPasswords(App-Link Informaticore密码管理器(App-Link LastPass密码管理器(App-Link
Keeper Passwort-Manager(App-Link F-Secure KEY密码管理器(App-Link Dashlane密码管理器(App-Link 隐藏图片保持安全保险箱(App-Link Avast密码(App-Link 1Password - 密码管理器(App-Link

 

*作者:team-sik,转载请注明来自MottoIN

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...