發現9款流行的密碼管理應用泄露了你的秘密

有什么安全的嗎？現在是2017年，答案很可能是否定的。

確保密碼安全是第一道防線；用于您的計算機、電子郵件和信息；針對黑客企圖，許多安全專家建議使用密碼管理器將所有密碼安全保存在一個地方。

密碼管理器是一種軟件，它可以創建復雜的密碼，存儲它們，組織計算機、網站、應用程序和網絡的所有密碼，并代表您記住它們。

好吧，這不僅僅是一種想象，一份新報告顯示，一些最流行的密碼管理器受到可能暴露用戶憑據的關鍵漏洞的影響。

該報告由德國弗勞恩霍夫安全信息技術研究所TeamSIK的一組安全專家于周二發布，報告顯示，谷歌Play上最受歡迎的9個安卓密碼管理器易受一個或多個安全漏洞的攻擊。

受一個或多個缺陷影響的流行Android密碼管理器應用

團隊檢查了LastPass、Keeper、1密碼、我的密碼、Dashlane密碼管理器、Informaticore的密碼管理器、F-Secure密鑰、Keepsafe和Avast密碼；每臺都有10萬到5000萬次安裝。TeamSIK說：“總體結果非常令人擔憂，并顯示，盡管密碼管理器應用程序聲稱，但它們沒有為存儲的密碼和憑據提供足夠的保護機制”。

在每個應用程序中，研究人員都發現了一個或多個安全漏洞，共發行26期；所有這些都是向應用程序制造商報告的，并在該組織的報告公開之前修復。

應用程序代碼中硬編碼的主密鑰的加密密鑰

該團隊稱，一些密碼管理器應用程序容易受到數據殘留攻擊和剪貼板嗅探。一些應用程序以明文形式存儲主密碼，甚至在代碼中公開加密密鑰。

例如，Informaticore的Password Manager應用程序存在一個嚴重缺陷，原因是該應用程序以加密形式存儲主密碼，加密密鑰硬編碼在應用程序代碼中。在LastPass中也發現了類似的錯誤。

事實上，在某些情況下，用戶存儲的密碼可能很容易被安裝在用戶設備上的任何惡意應用程序訪問和過濾。

除了這些問題，研究人員還發現，大多數密碼管理器應用程序中的自動填充功能可能會被濫用，通過“隱藏的網絡釣魚”攻擊竊取存儲的機密。

還有什么更令人擔憂？任何攻擊者都可以輕松利用研究人員發現的許多缺陷，而無需root權限。

易受攻擊的密碼管理器及其缺陷列表

以下是TeamSIK在一些最流行的Android密碼管理器中披露的漏洞列表：

我的密碼

• 讀取我的密碼應用程序的私人數據
• 我的密碼應用程序的主密碼解密
• 免費高級功能解鎖我的密碼

密碼：密碼管理器

• 1Password內部瀏覽器中的子域密碼泄漏
• 默認情況下，HTTPS在1Password內部瀏覽器中降級為HTTP URL
• 1密碼數據庫中未加密的標題和URL
• 從1Password Manager中的應用文件夾讀取私人數據
• 隱私問題，信息泄露給供應商1Password Manager

LastPass密碼管理器

• LastPass密碼管理器中的硬編碼主密鑰
• LastPass瀏覽器搜索中的隱私和數據泄漏
• 從LastPass密碼管理器讀取私人數據（存儲的主密碼）

計算機密碼管理器

• Microsoft密碼管理器中的憑據存儲不安全

管理員密碼管理器

• 管理員密碼管理器安全問題旁路
• Keeper Password Manager無主密碼的數據注入

Dashlane密碼管理器

• 從Dashlane密碼管理器中的應用文件夾讀取私人數據
• Dashlane密碼管理器瀏覽器中的谷歌搜索信息泄漏
• 從Dashlane密碼管理器中提取主密碼的殘余攻擊
• 內部Dashlane密碼管理器瀏覽器中的子域密碼泄漏

F-Secure密鑰密碼管理器

• F-Secure KEY Password Manager不安全的憑證存儲

隱藏圖片紀念保險庫

• Keepsafe明文密碼存儲

Avast密碼

• 從Avast密碼管理器竊取應用程序密碼
• Avast密碼管理器中流行站點的不安全默認URL
• Avast密碼管理器中安全通信中斷的實現

研究人員還將在下月的HITB會議上介紹他們的發現。有關每個漏洞的更多技術細節，用戶可以訪問TeamSIK報告。

由于供應商已經解決了上述所有問題，因此強烈建議用戶盡快更新密碼管理器應用程序，因為現在黑客已經掌握了利用密碼管理器應用程序易受攻擊版本所需的所有信息。