Bruker du et eget verktøy til å holde orden på passordene dine, i den tro at dette er «sikkert som banken»? Da må du muligens tro om igjen.
Forskere ved TeamSIK-gruppen til tyske Fraunhofer Institute for Secure Information Technology har studert sikkerheten til de ni mest populære Android-appene for passordadministrasjon: MyPasswords, Informaticore Password Manager, LastPass, Keeper, F-Secure KEY Password Manager, Dashlane Password Manager, Hide Pictures Keep Safe Vault, Avast Passwords og 1Password.
The Register var blant de første til å omtale undersøkelsen.
Detaljene fra undersøkelsen har ennå ikke blitt offentliggjort, kanskje først og fremst fordi forskerne har villet gi leverandørene av de ni produktene tid til å rette i alt 26 konkrete sårbarheter som ble funnet. Men forskerne har ikke holdt igjen den generelle omtalen av funnene.
Les også: Innbrudd hos mye brukt passord-tjeneste
Ekstremt bekymringsfullt
Den overordnede hensikten med undersøkelsen var å se om det til tross for løfter om sikkerhet på bank- eller forsvarsnivå, var mulig å få tilgang til innloggingsinformasjonen som verktøyene skal ta vare på.
– De generelle resultatene var ekstremt bekymringsfulle og avslørte at passordadministrasjonsappene, til tross for påstandene, ikke tilbød tilstrekkelige beskyttelsesmekanismer for den lagrede innloggingsinformasjonen. I stedet misbruker de brukernes tillit og utsetter dem for stor risiko, heter det i en oppsummering av prosjektet.
Forskerne fant en rekke alvorlige sårbarheter som skyldtes implementeringsfeil i den grunnleggende funksjonaliteten. Blant annet var det applikasjoner som lagret hovedpassordet i klartekst. Andre tok i bruk krypteringsnøkler som var hardkodet i programvarekoden. I begge tilfeller ville det være relativt enkelt for ondsinnede med tilgang til enheten å omgå krypteringsalgoritmen og å få tilgang til de lagrede brukerdataene.
I andre tilfeller var det også mulig for forskerne å få tilgang til all innloggingsinformasjonen ved hjelp av en separat app. Dette kan potensielt være en trojaner som kan sende informasjonen videre til en angriper.
Les også: Alvorlige sårbarheter fjernet fra populært passordprogram
Utklippstavlen
I tillegg var det mange av appene som fullstendig ignorerte muligheten for «clipboard sniffing», altså kopiering av informasjonen som midlertidig har blitt lagret i utklippstavlen. Forskerne mener at appene burde slette innholdet i utklippstavlen etter innloggingsinformasjon har blitt kopiert dit.
Men mange av appene tilbyr også tilleggsfunksjonalitet, for eksempel automatisk utfylling av innloggingsfelter i applikasjoner. Ifølge forskerne kan dette utnyttes gjennom skjulte phishingangrep.
Enkelt av passordverktøyene leveres dessuten med egne nettlesere. Forskerne mener at dette utgjør nok en kilde til sårbarheter.
Det skal nok en del til for å oppnå mulighet til å utnytte disse svakhetene hos brukere som i utgangspunktet er litt forsiktige med hvilke apper de installerer på smartmobilen eller nettbrettet. Men langt fra alle brukere er forsiktige nok.
I oppsummeringen av undersøkelsen finner man også detaljer om alle sårbarhetene som forskerne har funnet. Leverandørene har blitt varslet, og så sent som i dag ble det klart at samtlige sårbarheter nå har blitt fjernet fra de respektive produktene.
Det er derfor viktig at brukerne nå installerer de oppdaterte utgavene av i alle fall disse appene.
Leste du denne? Microsoft forbyr mye brukte passord