Небезопасное хранение данных в менеджерах паролей для платформы Android


Исследователи из группы TeamSIK опубликовали результаты проверки безопасности самых популярных менеджеров паролей для платформы Android. Менеджеры паролей часто рекомендуются как надёжный и безопасный способ хранения паролей с использованием гарантирующих конфеденциальность криптографических методов, но упускается то, что сам менеджер паролей является слабым звеном и может лишь создавать иллюзию защищённости, так как уязвимость в нём может привести к попаданию в руки злоумышленника сразу всех паролей. Например, какие бы надёжные криптографические методы не использовались для шифрования хранилища, их сведёт на нет шифрование мастер-пароля ключом, прописанным в коде приложения.

Для изучения были выбраны самые популярные по числу загрузок менеджеры паролей, представленные в каталоге Google Play. Результаты предпринятой проверки оказались плачевными и не лучше, чем при анализе VPN-приложений для Android - в 9 менеджерах паролей выявлены серьёзные уязвимости, позволяющие получить доступ к закрытой информации.

В том числе во многих приложениях мастер-пароль или ключ для его шифрования был доступен для извлечения, пароли хранились в открытом виде или не была обеспечена должная защита хранилища. Кроме того, приложения оказались не защищены от применения дополнительных снифферов ввода и не очищали буфер обмена после передачи через него пароля. Также отмечается достаточно длительный срок устранения выявленных проблем - о большинстве уязвимостей разработчикам было сообщено ещё осенью прошлого года, а исправления были выпущены лишь спустя несколько месяцев.

Наиболее интересные проблемы:

-MyPasswords - возможность чтения закрытых данных и дешифрования мастер-пароля;
-Informaticore/Mirsoft Password Manager - небезопасное хранение учётных записей, ключ для доступа к мастер-паролю был вшит в код приложения;
-LastPass Password Manager - вшитый фиксированный универсальный ключ доступа, утечка данных при использовании поиска и возможность извлечения мастер пароля;
-Keeper Password-Manager - возможность обхода контрольного вопроса и выполнение сброса мастер-пароля без аутентификации, возможность подстановки данных в защищённое хранилище без ввода мастер-пароля;
-F-Secure KEY Password Manager - небезопасное хранение учётных записей, хранение мастер-пароля в открытом виде;
-Dashlane Password Manager - возможность чтения закрытых данных из каталога приложения, возможность извлечения мастер-пароля и утечка паролей для поддоменов;
-Hide Pictures Keep Safe Vault - хранение паролей в открытом виде;
-Avast Passwords - получение информации о паролях через их утечку при автозаполнении форм, обращение к типовым страницам входа популярных сайтов без шифрвания по HTTP, передача данных на внешний бэкенд по HTTP;
-1Password - возможность чтения закрытых данных из каталога приложения, вход по умолчанию по HTTP, хранение заголовков и URL без шифрования, утечка паролей для поддоменов.