Androidの9つのパスワードマネージャー(LastPass、Dashlane ..)で見つかったセキュリティの問題

Fraunhofer Instituteのセキュリティ研究者は、Androidの9つのパスワードマネージャーで深刻なセキュリティの問題を発見し、研究の一環として分析しました。

認証情報の保存に関しては、パスワードマネージャーが一般的なオプションです。すべてがローカルまたはリモートで安全なストレージを約束します。パスワード生成、自動サインイン、クレジットカード番号やピンなどの重要なデータの保存など、他の機能を組み合わせて追加することもあります。

Fraunhofer Instituteによる最近の調査では、セキュリティの観点から、GoogleのAndroidオペレーティングシステムの9つのパスワードマネージャーを調べました。研究者は次のパスワードマネージャーを分析しました:LastPass、1Password、My Passwords、Dashlane Password Manager、Informaticoreのパスワードマネージャー、F-Secure KEY、Keepsafe、Keeper、およびAvast Passwords。

アプリの中には、5,000万以上のインストールがあり、すべてが少なくとも100,000のインストールがあります。

Androidのセキュリティ分析におけるパスワードマネージャー

android password managers

チームの結論では、Androidにパスワードマネージャーを実装する誰でも心配する必要があります。 Android向けの他のパスワードマネージャーアプリケーションにも脆弱性があるかどうかは不明ですが、実際にそうである可能性は少なくともあります。

全体的な結果は非常に憂慮すべきものであり、パスワードマネージャアプリケーションは、その主張にもかかわらず、保存されているパスワードと資格情報に対して十分な保護メカニズムを提供していないことを明らかにしました。代わりに、ユーザーの信頼を濫用し、高いリスクにさらします。

研究者が分析した各アプリで、少なくとも1つのセキュリティの脆弱性が確認されました。これは、マスターキーをプレーンテキストで保存するアプリケーションや、ハードコーディングされた暗号化キーをコードで使用するアプリケーションにまで及びました。別のケースでは、単純なヘルパーアプリケーションをインストールすると、パスワードアプリケーションによって保存されたパスワードが抽出されます。

LastPassだけで3つの脆弱性が確認されました。最初にハードコードされたマスターキー、次にブラウザー検索でのデータリーク、最後にAndroid 4.0.x以下のLastPassに影響を与える脆弱性。これにより、保存されたマスターパスワードを盗むことができます。

  • SIK-2016-022:LastPass Password Managerのハードコードされたマスターキー
  • SIK-2016-023:プライバシー、LastPassブラウザー検索でのデータ漏洩
  • SIK-2016-024:LastPass Password Managerからのプライベート日付(マスターパスワードの保存)の読み取り

別の人気のあるパスワードマネージャーアプリケーションであるDashlaneに4つの脆弱性が確認されました。これらの脆弱性により、攻撃者はアプリフォルダーから個人データを読み取り、情報漏洩を悪用し、マスターパスワードを抽出する攻撃を実行することができました。

  • SIK-2016-028:Dashlane Password Managerのアプリフォルダーからプライベートデータを読み取る
  • SIK-2016-029:Dashlane Password ManagerブラウザーでのGoogle検索情報漏えい
  • SIK-2016-030:Dashlane Password Managerからマスターパスワードを抽出する残留攻撃
  • SIK-2016-031:内部Dashlane Password Managerブラウザーでのサブドメインパスワード漏えい

人気の1Passwordアプリケーション4 Androidには、プライバシーの問題やパスワードの漏洩など、5つの脆弱性がありました。

  • SIK-2016-038:1Password内部ブラウ​​ザーでのサブドメインのパスワード漏洩
  • SIK-2016-039:1Passwordの内部ブラウ​​ザで、HTTPSがデフォルトでhttp URLにダウングレード
  • SIK-2016-040:1Passwordデータベースで暗号化されていないタイトルとURL
  • SIK-2016-041:1Password Managerのアプリフォルダーからプライベートデータを読み取る
  • SIK-2016-042:プライバシーの問題、ベンダー1Password Managerに情報が漏洩

あなたはチェックアウトすることができます アプリの完全なリスト Fraunhofer InstituteのWebサイトで分析された脆弱性。

注意 :開示されているすべての脆弱性は、アプリケーションを開発する会社によって修正されています。一部の修正はまだ開発中です。アプリケーションをモバイルデバイスで実行する場合は、できるだけ早くアプリケーションを更新することをお勧めします。

研究チームの結論は非常に壊滅的です。

これは、パスワードマネージャーの最も基本的な機能でさえもしばしば脆弱であることを示していますが、これらのアプリはまた、セキュリティに影響を与える可能性がある追加の機能も提供します。たとえば、アプリケーションのオートフィル機能が悪用され、「隠されたフィッシング」攻撃を使用して、パスワードマネージャーアプリケーションから保存された秘密を盗む可能性があることがわかりました。 Webページのパスワードフォームの自動入力をより適切にサポートするために、一部のアプリケーションは独自のWebブラウザを提供しています。これらのブラウザーは、プライバシー漏洩などの脆弱性の追加の原因です。

では、あなた :パスワードマネージャーアプリケーションを使用していますか? (経由 ハッカーニュース