フラウンホーファー研究所のセキュリティ研究者は、Androidの9つのパスワードマネージャーで深刻なセキュリティ問題を発見し、調査の一環として分析しました。
パスワードマネージャーは、認証情報の保存に関して一般的なオプションです。 すべてがローカルまたはリモートで安全なストレージを約束し、一部はパスワード生成、自動サインイン、クレジットカード番号やピンなどの重要なデータの保存など、他の機能をミックスに追加するかもしれません。
Fraunhofer Instituteによる最近の調査では、セキュリティの観点からGoogleのAndroidオペレーティングシステム用の9つのパスワードマネージャーを調査しました。 研究者は、LastPass、1Password、My Passwords、Dashlane Password Manager、InformaticoreのPassword Manager、F-Secure KEY、Keepsafe、Keeper、Avast Passwordsのパスワードマネージャーを分析しました。
一部のアプリには5, 000万を超えるインストールがあり、少なくとも100, 000のインストールがあります。
Androidセキュリティ分析のパスワードマネージャー
チームの結論には、Androidでパスワードマネージャーを実装する人を心配させる必要があります。 Android向けの他のパスワードマネージャーアプリケーションにも脆弱性があるかどうかは不明ですが、実際にそうである可能性は少なくともあります。
全体的な結果は非常に心配であり、パスワードマネージャーアプリケーションは、その主張にもかかわらず、保存されたパスワードと資格情報に十分な保護メカニズムを提供しないことを明らかにしました。 代わりに、ユーザーの自信を乱用し、高いリスクにさらします。
研究者が分析したアプリごとに、少なくとも1つのセキュリティ脆弱性が確認されました。 これは、マスターキーをプレーンテキストで保存するアプリケーションと、ハードコードされた暗号化キーをコードで使用するアプリケーションまでありました。 別のケースでは、単純なヘルパーアプリケーションをインストールすると、パスワードアプリケーションによって保存されたパスワードが抽出されます。
LastPassだけで3つの脆弱性が確認されました。 最初にハードコードされたマスターキー、次にブラウザー検索でのデータリーク、最後に、Android 4.0.x以前のLastPassに影響する脆弱性。これにより、攻撃者は保存されたマスターパスワードを盗むことができます。
- SIK-2016-022:LastPass Password Managerのハードコードされたマスターキー
- SIK-2016-023:プライバシー、LastPassブラウザー検索でのデータ漏洩
- SIK-2016-024:LastPass Password Managerからプライベート日付(保存されたマスターパスワード)を読み取ります
別の一般的なパスワードマネージャーアプリケーションであるDashlaneで、4つの脆弱性が確認されました。 これらの脆弱性により、攻撃者はアプリフォルダーから個人データを読み取り、情報漏えいを悪用し、攻撃を実行してマスターパスワードを抽出することができました。
- SIK-2016-028:Dashlane Password Managerのアプリフォルダーからプライベートデータを読み取る
- SIK-2016-029:Dashlane Password ManagerブラウザーでのGoogle検索情報の漏洩
- SIK-2016-030:Dashlane Password Managerからマスターパスワードを抽出する残留攻撃
- SIK-2016-031:内部Dashlane Password Managerブラウザーでのサブドメインパスワードリーク
人気のある1Passwordアプリケーション4 Androidには、プライバシーの問題やパスワードの漏洩など、5つの脆弱性がありました。
- SIK-2016-038:1Password内部ブラウザーでのサブドメインパスワードの漏洩
- SIK-2016-039:1Password内部ブラウザーでデフォルトでHTTPがhttp URLにダウングレード
- SIK-2016-040:1Passwordデータベースで暗号化されていないタイトルとURL
- SIK-2016-041:1Password Managerのアプリフォルダーからプライベートデータを読み取る
- SIK-2016-042:プライバシーの問題、ベンダー1Password Managerに漏洩した情報
Fraunhofer InstituteのWebサイトで、分析されたアプリの完全なリストと脆弱性を確認できます。
注 :開示されているすべての脆弱性は、アプリケーションを開発する企業によって修正されています。 いくつかの修正はまだ開発中です。 モバイルデバイスで実行する場合は、できるだけ早くアプリケーションを更新することをお勧めします。
研究チームの結論は非常に破壊的です。
これは、パスワードマネージャーの最も基本的な機能でさえ脆弱であることが多いことを示していますが、これらのアプリは追加の機能も提供します。 たとえば、「隠されたフィッシング」攻撃を使用して、パスワードマネージャアプリケーションから保存された秘密を盗むために、アプリケーションの自動入力機能が悪用される可能性があることがわかりました。 Webページでの自動入力パスワードフォームのサポートを改善するために、一部のアプリケーションは独自のWebブラウザーを提供します。 これらのブラウザーは、プライバシー漏洩などの脆弱性の追加ソースです。
Now You :パスワードマネージャーアプリケーションを使用していますか? (The Hacker News経由)