وجد باحثو الأمن في معهد فراونهوفر مشكلات أمنية خطيرة في تسعة من مديري كلمات المرور لنظام أندرويد قاموا بتحليلها كجزء من أبحاثهم.
يعد مديرو كلمات المرور خيارًا شائعًا عندما يتعلق الأمر بتخزين معلومات المصادقة. تعد جميعها بتخزين آمن إما محليًا أو عن بُعد ، وقد يضيف البعض ميزات أخرى إلى هذا المزيج ، مثل إنشاء كلمة المرور أو تسجيل الدخول التلقائي أو حفظ البيانات المهمة مثل أرقام بطاقات الائتمان أو الدبابيس.
نظرت دراسة حديثة أجراها معهد فراونهوفر إلى تسعة مديرين لكلمات المرور لنظام تشغيل Google على أندرويد من وجهة نظر أمنية. قام الباحثون بتحليل مديري كلمات المرور التالية: LastPass و 1Password وكلمات المرور الخاصة بي و Dashlane Password Manager و Informaticore Password Manager و F-Secure KEY و Keepsafe و Keeper و Avast Passwords.
تحتوي بعض التطبيقات على أكثر من 50 مليون عملية تثبيت ، وكل ما لا يقل عن 100000 عملية تثبيت.
مدراء كلمة المرور على تحليل الأمان أندرويد
يجب أن يكون استنتاج الفريق قلقًا من تنفيذ مدير كلمات المرور على Android. على الرغم من أنه من غير الواضح ما إذا كانت تطبيقات إدارة كلمات المرور الأخرى لنظام Android بها نقاط ضعف أيضًا ، فهناك على الأقل فرصة أن يكون الأمر كذلك بالفعل.
كانت النتائج الإجمالية مقلقة للغاية وكشفت أن تطبيقات إدارة كلمة المرور ، على الرغم من ادعاءاتها ، لا توفر آليات حماية كافية لكلمات المرور المخزنة وبيانات الاعتماد. بدلاً من ذلك ، يسيئون استخدام ثقة المستخدمين ويعرضونهم لمخاطر عالية.
تم تحديد ثغرة أمنية واحدة على الأقل في كل من التطبيقات التي حللها الباحثون. وقد وصل ذلك إلى حد قيام بعض التطبيقات بتخزين المفتاح الرئيسي بنص عادي ، بينما استخدم البعض الآخر مفاتيح تشفير مشفرة في التعليمات البرمجية. في حالة أخرى ، استخلص تثبيت تطبيق المساعد البسيط كلمات المرور المخزنة بواسطة تطبيق كلمة المرور.
تم تحديد ثغرات أمنية في LastPass وحدها. أولاً ، مفتاح رئيسي مشفر ، ثم تسرب البيانات في بحث المتصفح ، وأخيراً ثغرة أمنية تؤثر على LastPass على Android 4.0.x وأقل مما يسمح للمهاجمين بسرقة كلمة المرور الرئيسية المخزنة.
- SIK-2016-022: مفتاح Master Hardcoded في مدير كلمة المرور لاست باس
- SIK-2016-023: الخصوصية ، تسرب البيانات في بحث متصفح LastPass
- SIK-2016-024: قراءة التاريخ الخاص (كلمة رئيسية مخزنة) من LastPass Password Manager
تم تحديد أربع نقاط ضعف في Dashlane ، وهو تطبيق آخر لإدارة كلمات المرور الشائعة. هذه الثغرات الأمنية سمحت للمهاجمين بقراءة البيانات الخاصة من مجلد التطبيق ، وإساءة استخدام تسرب المعلومات ، وشن هجوم لاستخراج كلمة المرور الرئيسية.
- SIK-2016-028: قراءة البيانات الخاصة من مجلد التطبيقات في Dashlane Password Manager
- SIK-2016-029: تسرب معلومات بحث Google في متصفح Dashlane Password Manager
- SIK-2016-030: هجوم بقايا استخراج كلمة رئيسية من Dashlane Password Manager
- SIK-2016-031: تسرب كلمة مرور النطاق الفرعي في متصفح إدارة كلمة مرور Dashlane الداخلية
تطبيق 1Password الشعبي أربعة Android لديه خمس نقاط ضعف بما في ذلك مشكلات الخصوصية وتسرب كلمة المرور.
- SIK-2016-038: تسرب كلمة مرور النطاق الفرعي في متصفح داخلي 1Password
- SIK-2016-039: Https الرجوع إلى URL http بشكل افتراضي في 1Password Internal Browser
- SIK-2016-040: العناوين وعناوين المواقع غير المشفرة في قاعدة بيانات 1Password
- SIK-2016-041: قراءة البيانات الخاصة من مجلد التطبيق في 1Password Manager
- SIK-2016-042: مشكلة الخصوصية ، المعلومات المتسربة إلى مدير بائع 1Password
يمكنك التحقق من القائمة الكاملة للتطبيقات التي تم تحليلها ونقاط الضعف على موقع معهد فراونهوفر.
ملاحظة : تم إصلاح جميع الثغرات المفصح عنها من قبل الشركات التي تطور التطبيقات. بعض الإصلاحات لا تزال قيد التطوير. يوصى بتحديث التطبيقات في أسرع وقت ممكن إذا قمت بتشغيلها على أجهزتك المحمولة.
استنتاج فريق البحث مدمر للغاية:
على الرغم من أن هذا يدل على أنه حتى الوظائف الأساسية لمدير كلمة المرور غالباً ما تكون عرضة للهشاشة ، فإن هذه التطبيقات توفر أيضًا ميزات إضافية ، والتي يمكن أن تؤثر مرة أخرى على الأمان. وجدنا ، على سبيل المثال ، يمكن إساءة استخدام وظائف الملء التلقائي للتطبيقات لسرقة الأسرار المخزنة من تطبيق مدير كلمة المرور باستخدام هجمات "التصيّد المخفي". للحصول على دعم أفضل لنماذج كلمات المرور التلقائية في صفحات الويب ، توفر بعض التطبيقات متصفحات الويب الخاصة بها. تعد هذه المتصفحات مصدرًا إضافيًا للثغرات الأمنية ، مثل تسرب الخصوصية.
أنت الآن : هل تستخدم تطبيق مدير كلمات المرور؟ (عبر أخبار هاكر)
