Los investigadores de seguridad del Instituto Fraunhofer encontraron graves problemas de seguridad en nueve administradores de contraseñas para Android que analizaron como parte de su investigación.
Los administradores de contraseñas son una opción popular cuando se trata de almacenar información de autenticación. Todos prometen un almacenamiento seguro, ya sea local o remotamente, y algunos pueden agregar otras características a la combinación, como la generación de contraseñas, inicios de sesión automáticos o el almacenamiento de datos importantes, como números de tarjetas de crédito o pines.
Un estudio reciente del Instituto Fraunhofer analizó nueve administradores de contraseñas para el sistema operativo Android de Google desde un punto de vista de seguridad. Los investigadores analizaron los siguientes administradores de contraseñas: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper y Avast Passwords.
Algunas de las aplicaciones tienen más de 50 millones de instalaciones, y todas al menos 100, 000 instalaciones.
Gestores de contraseñas en análisis de seguridad de Android
La conclusión del equipo debería preocupar a cualquiera que implemente un administrador de contraseñas en Android. Si bien no está claro si otras aplicaciones de administrador de contraseñas para Android también tienen vulnerabilidades, al menos existe la posibilidad de que este sea el caso.
Los resultados generales fueron extremadamente preocupantes y revelaron que las aplicaciones del administrador de contraseñas, a pesar de sus afirmaciones, no proporcionan suficientes mecanismos de protección para las contraseñas y credenciales almacenadas. En cambio, abusan de la confianza de los usuarios y los exponen a altos riesgos.
Se identificó al menos una vulnerabilidad de seguridad en cada una de las aplicaciones que los investigadores analizaron. Esto fue tan lejos como algunas aplicaciones que almacenan la clave maestra en texto plano, y otras que usan claves criptográficas codificadas en el código. En otro caso, la instalación de una aplicación auxiliar simple extrajo las contraseñas almacenadas por la aplicación de contraseña.
Se identificaron tres vulnerabilidades solo en LastPass. Primero, una clave maestra codificada, luego filtraciones de datos en la búsqueda del navegador y, finalmente, una vulnerabilidad que afecta a LastPass en Android 4.0.xy versiones inferiores que permite a los atacantes robar la contraseña maestra almacenada.
- SIK-2016-022: Clave maestra codificada en LastPass Password Manager
- SIK-2016-023: Privacidad, fuga de datos en la búsqueda del navegador LastPass
- SIK-2016-024: Leer fecha privada (contraseña maestra almacenada) del administrador de contraseñas de LastPass
Se identificaron cuatro vulnerabilidades en Dashlane, otra aplicación popular de administración de contraseñas. Estas vulnerabilidades permitieron a los atacantes leer datos privados de la carpeta de la aplicación, abusar de las filtraciones de información y ejecutar un ataque para extraer la contraseña maestra.
- SIK-2016-028: Leer datos privados de la carpeta de la aplicación en Dashlane Password Manager
- SIK-2016-029: Fuga de información de búsqueda de Google en el navegador Dashlane Password Manager
- SIK-2016-030: Ataque de residuos que extrae la contraseña maestra del Administrador de contraseñas de Dashlane
- SIK-2016-031: fuga de contraseña de subdominio en el navegador interno de Dashlane Password Manager
La popular aplicación 1Password cuatro Android tenía cinco vulnerabilidades, incluidos problemas de privacidad y pérdida de contraseña.
- SIK-2016-038: Fuga de contraseña de subdominio en el navegador interno de 1 contraseña
- SIK-2016-039: Https downgrade a URL http por defecto en 1Password Internal Browser
- SIK-2016-040: títulos y URL no cifrados en la base de datos de 1 contraseña
- SIK-2016-041: Leer datos privados de la carpeta de aplicaciones en 1Password Manager
- SIK-2016-042: Problema de privacidad, información filtrada al vendedor 1Password Manager
Puede consultar la lista completa de aplicaciones analizadas y las vulnerabilidades en el sitio web del Instituto Fraunhofer.
Nota : Todas las vulnerabilidades reveladas han sido reparadas por las compañías que desarrollan las aplicaciones. Algunas correcciones aún están en desarrollo. Se recomienda que actualice las aplicaciones lo antes posible si las ejecuta en sus dispositivos móviles.
La conclusión del equipo de investigación es bastante devastadora:
Si bien esto muestra que incluso las funciones más básicas de un administrador de contraseñas a menudo son vulnerables, estas aplicaciones también proporcionan características adicionales que, de nuevo, pueden afectar la seguridad. Descubrimos que, por ejemplo, se podría abusar de las funciones de autocompletar para aplicaciones para robar los secretos almacenados de la aplicación del administrador de contraseñas mediante ataques de "phishing oculto". Para un mejor soporte de autocompletar formularios de contraseña en páginas web, algunas de las aplicaciones proporcionan sus propios navegadores web. Estos navegadores son una fuente adicional de vulnerabilidades, como la fuga de privacidad.
Ahora tú : ¿Utilizas una aplicación de administrador de contraseñas? (a través de The Hacker News)
