Nacionalni CERT

Pronađeno 26 propusta u najpoznatijim aplikacijama za pohranu lozinki

Skupina njemačkih stručnjaka za sigurnost otkrila je 26 sigurnosnih propusta kod devet najpopularnijih aplikacija za pohranu lozinki koje čine MyPasswords, Informaticore, LastPass, Keeper, F-Secure Key, Dashlane, Hide Pictures Keep Safe Vault, Avast Passwords i 1Password. Svaka je od navedenih aplikacija u trenutku testiranja bila instalirana na najmanje 500 000 uređaja diljem svijeta, a neke od njih imaju i više milijuna korisnika. Podaci o propustima objavljeni su početkom ovoga tjedna. Istog su dana otklonjena 23 propusta, a preostala su 3 propusta otklonjena 2 dana poslije.

Istraživačka skupina navodi kako je u aplikacijama nađeno niz različitih propusta koji su navedeni u nastavku:

  • Aplikacije su spremale glavne lozinke nezaštićenoj .txt datoteci
  • Glavne su lozinke bile šifrirane, ali je glavni ključ za šifriranje bio trajno zapisan u kod aplikacije
  • Aplikacije su ostavljale lozinke u međuspremniku čime se otvarala mogućnost ostalim aplikacijama da ih dohvate
  • Poneke su aplikacije za pohranu lozinki nakon deinstalacije s uređaja ostavljale podatke iz kojih je bilo moguće izvući prethodno pohranjene lozinke
  • Prilikom automatskog upisivanja lozinki u pregledniku postojala je mogućnost phishing napada
  • Neke su od navedenih aplikacija za pohranu lozinki dolazile u paketu s preglednicima koji su imali niz propusta

Prema riječima istraživačke skupine, sveukupni su podaci veoma zabrinjavajući te pokazuju kako mnoge od aplikacija ovog tipa ne pružaju dovoljnu razinu sigurnosne pouzdanosti, a korisniku pružaju lažnu sigurnost te ih tako izlažu visokom riziku.

Cijelo je izvješće dostupno putem poveznice u nastavku:

https://team-sik.org/trent_portfolio/password-manager-apps/

 

03.03.2017