Masalah keamanan ditemukan di sembilan pengelola kata sandi untuk Android (LastPass, Dashlane ..)

• Kategori: Keamanan

Coba Instrumen Kami Untuk Menghilangkan Masalah

Pilih Sistem Operasi Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Pilih Program Proyeksi (Opsional) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Jelaskan Masalah Anda

Dapatkan Jawaban

Kirimkan Saya Melalui Email Tunjukkan Di Situs

Peneliti keamanan dari Fraunhofer Institute menemukan masalah keamanan yang parah pada sembilan pengelola kata sandi untuk Android yang mereka analisis sebagai bagian dari penelitian mereka.

Pengelola kata sandi adalah pilihan populer dalam hal menyimpan informasi otentikasi. Semua menjanjikan penyimpanan yang aman baik secara lokal atau jarak jauh, dan beberapa mungkin menambahkan fitur lain ke dalam campuran seperti pembuatan kata sandi, masuk otomatis, atau penyimpanan data penting seperti nomor Kartu Kredit atau Pin.

Sebuah studi terbaru oleh Fraunhofer Institute melihat sembilan pengelola kata sandi untuk sistem operasi Google Android dari sudut pandang keamanan. Para peneliti menganalisis pengelola kata sandi berikut: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper, dan Avast Passwords.

Beberapa aplikasi memiliki lebih dari 50 juta penginstalan, dan semuanya setidaknya 100.000 penginstalan.

Pengelola Kata Sandi pada analisis keamanan Android

Kesimpulan tim seharusnya membuat siapa pun khawatir siapa yang menerapkan pengelola kata sandi di Android. Meskipun tidak jelas apakah aplikasi pengelola kata sandi lain untuk Android juga memiliki kerentanan, setidaknya ada kemungkinan bahwa ini memang masalahnya.

Hasil keseluruhan sangat mengkhawatirkan dan mengungkapkan bahwa aplikasi pengelola kata sandi, terlepas dari klaim mereka, tidak memberikan mekanisme perlindungan yang cukup untuk kata sandi dan kredensial yang disimpan. Sebaliknya, mereka menyalahgunakan kepercayaan pengguna dan membuat mereka berisiko tinggi.

Setidaknya satu kerentanan keamanan teridentifikasi di setiap aplikasi yang dianalisis para peneliti. Ini berlaku untuk beberapa aplikasi yang menyimpan kunci master dalam teks biasa, dan yang lainnya menggunakan kunci kriptografi hard-code dalam kode. Dalam kasus lain, pemasangan aplikasi pembantu sederhana mengekstrak kata sandi yang disimpan oleh aplikasi kata sandi.

Tiga kerentanan diidentifikasi di LastPass saja. Pertama, kunci master yang di-hardcode, kemudian data bocor di penelusuran browser, dan akhirnya kerentanan yang memengaruhi LastPass di Android 4.0.x dan yang lebih rendah yang memungkinkan penyerang mencuri sandi master yang disimpan.

• SIK-2016-022: Master Key yang di-hardcode di LastPass Password Manager
• SIK-2016-023: Privasi, Kebocoran data di Pencarian Browser LastPass
• SIK-2016-024: Baca Tanggal Pribadi (Masterpassword Tersimpan) dari LastPass Password Manager

Empat kerentanan diidentifikasi di Dashlane, aplikasi pengelola kata sandi populer lainnya. Kerentanan ini memungkinkan penyerang membaca data pribadi dari folder aplikasi, menyalahgunakan kebocoran informasi, dan menjalankan serangan untuk mengekstrak kata sandi utama.

• SIK-2016-028: Membaca Data Pribadi Dari Folder Aplikasi di Dashlane Password Manager
• SIK-2016-029: Kebocoran Informasi Pencarian Google di Dashlane Password Manager Browser
• SIK-2016-030: Serangan Residu Mengekstrak Masterpassword Dari Dashlane Password Manager
• SIK-2016-031: Kebocoran Sandi Subdomain di Browser Pengelola Sandi Dashlane Internal

Aplikasi 1Password empat Android yang populer memiliki lima kerentanan termasuk masalah privasi dan kebocoran kata sandi.

• SIK-2016-038: Kebocoran Sandi Subdomain di Browser Internal 1Password
• SIK-2016-039: Https downgrade ke http URL secara default di 1Password Internal Browser
• SIK-2016-040: Judul dan URL Tidak Dienkripsi dalam 1Password Database
• SIK-2016-041: Membaca Data Pribadi Dari Folder Aplikasi di 1Password Manager
• SIK-2016-042: Masalah Privasi, Informasi Bocor ke Vendor 1Password Manager

Anda dapat melihat daftar lengkap aplikasi dianalisis dan kerentanan di situs web Institut Fraunhofer.

Catatan : Semua kerentanan yang diungkapkan telah diperbaiki oleh perusahaan yang mengembangkan aplikasi. Beberapa perbaikan masih dalam pengembangan. Disarankan agar Anda memperbarui aplikasi secepat mungkin jika Anda menjalankannya di perangkat seluler Anda.

Kesimpulan dari tim peneliti cukup menghancurkan:

Meskipun ini menunjukkan bahwa fungsi paling dasar dari pengelola kata sandi pun sering kali rentan, aplikasi ini juga menyediakan fitur tambahan, yang sekali lagi dapat memengaruhi keamanan. Kami menemukan bahwa, misalnya, fungsi pengisian otomatis untuk aplikasi dapat disalahgunakan untuk mencuri rahasia yang disimpan dari aplikasi pengelola kata sandi menggunakan serangan 'phishing tersembunyi'. Untuk dukungan yang lebih baik dari pengisian formulir sandi secara otomatis di halaman web, beberapa aplikasi menyediakan browser web mereka sendiri. Browser ini adalah sumber kerentanan tambahan, seperti kebocoran privasi.

Kamu sekarang : Apakah Anda menggunakan aplikasi pengelola kata sandi? (melalui Berita Hacker )