Skupina njemačkih stručnjaka za sigurnost otkrila je 26 sigurnosnih propusta kod devet najpopularnijih aplikacija za pohranu lozinki koje čine MyPasswords, Informaticore, LastPass, Keeper, F-Secure Key, Dashlane, Hide Pictures Keep Safe Vault, Avast Passwords i 1Password. Svaka je od navedenih aplikacija u trenutku testiranja bila instalirana na najmanje 500 000 uređaja diljem svijeta, a neke od njih imaju i više milijuna korisnika. Podaci o propustima objavljeni su početkom ovoga tjedna. Istog su dana otklonjena 23 propusta, a preostala su 3 propusta otklonjena 2 dana poslije.
Istraživačka skupina navodi kako je u aplikacijama nađeno niz različitih propusta koji su navedeni u nastavku:
- Aplikacije su spremale glavne lozinke nezaštićenoj .txt datoteci
- Glavne su lozinke bile šifrirane, ali je glavni ključ za šifriranje bio trajno zapisan u kod aplikacije
- Aplikacije su ostavljale lozinke u međuspremniku čime se otvarala mogućnost ostalim aplikacijama da ih dohvate
- Poneke su aplikacije za pohranu lozinki nakon deinstalacije s uređaja ostavljale podatke iz kojih je bilo moguće izvući prethodno pohranjene lozinke
- Prilikom automatskog upisivanja lozinki u pregledniku postojala je mogućnost phishing napada
- Neke su od navedenih aplikacija za pohranu lozinki dolazile u paketu s preglednicima koji su imali niz propusta
Prema riječima istraživačke skupine, sveukupni su podaci veoma zabrinjavajući te pokazuju kako mnoge od aplikacija ovog tipa ne pružaju dovoljnu razinu sigurnosne pouzdanosti, a korisniku pružaju lažnu sigurnost te ih tako izlažu visokom riziku.
Cijelo je izvješće dostupno putem poveznice u nastavku:
