Problèmes de sécurité détectés dans neuf gestionnaires de mots de passe pour Android (LastPass, Dashlane ..)
- Catégorie: Sécurité
Les chercheurs en sécurité de l'Institut Fraunhofer ont découvert de graves problèmes de sécurité dans neuf gestionnaires de mots de passe pour Android qu'ils ont analysés dans le cadre de leurs recherches.
Les gestionnaires de mots de passe sont une option populaire pour stocker les informations d'authentification. Tous promettent un stockage sécurisé localement ou à distance, et certains peuvent ajouter d'autres fonctionnalités au mélange telles que la génération de mot de passe, les connexions automatiques ou la sauvegarde de données importantes telles que les numéros de carte de crédit ou les épingles.
Une étude récente du Fraunhofer Institute a examiné neuf gestionnaires de mots de passe pour le système d'exploitation Android de Google d'un point de vue de la sécurité. Les chercheurs ont analysé les gestionnaires de mots de passe suivants: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper et Avast Passwords.
Certaines des applications ont plus de 50 millions d'installations et toutes au moins 100 000 installations.
Gestionnaires de mots de passe sur l'analyse de la sécurité Android
La conclusion de l'équipe devrait inquiéter quiconque implémente un gestionnaire de mots de passe sur Android. Bien qu'il ne soit pas clair si d'autres applications de gestion de mots de passe pour Android présentent également des vulnérabilités, il y a au moins une chance que ce soit effectivement le cas.
Les résultats globaux étaient extrêmement inquiétants et ont révélé que les applications de gestion de mots de passe, malgré leurs affirmations, ne fournissent pas suffisamment de mécanismes de protection pour les mots de passe et les informations d'identification stockés. Au lieu de cela, ils abusent de la confiance des utilisateurs et les exposent à des risques élevés.
Au moins une vulnérabilité de sécurité a été identifiée dans chacune des applications analysées par les chercheurs. Cela est allé aussi loin que certaines applications stockant la clé principale en texte brut, et d'autres utilisant des clés cryptographiques codées en dur dans le code. Dans un autre cas, l'installation d'une simple application d'assistance a extrait les mots de passe stockés par l'application de mot de passe.
Trois vulnérabilités ont été identifiées dans LastPass uniquement. D'abord une clé principale codée en dur, puis des fuites de données dans la recherche du navigateur, et enfin une vulnérabilité affectant LastPass sur Android 4.0.x et versions antérieures qui permet aux attaquants de voler le mot de passe principal stocké.
- SIK-2016-022: Clé principale codée en dur dans LastPass Password Manager
- SIK-2016-023: Confidentialité, fuite de données dans LastPass Browser Search
- SIK-2016-024: Lire la date privée (mot de passe maître stocké) à partir du gestionnaire de mots de passe LastPass
Quatre vulnérabilités ont été identifiées dans Dashlane, une autre application de gestion de mots de passe populaire. Ces vulnérabilités permettaient aux attaquants de lire les données privées du dossier de l'application, d'abuser des fuites d'informations et de lancer une attaque pour extraire le mot de passe principal.
- SIK-2016-028: Lire les données privées à partir du dossier d'application dans Dashlane Password Manager
- SIK-2016-029: Fuite des informations de recherche Google dans le navigateur Dashlane Password Manager
- SIK-2016-030: Residue Attack Extraction du mot de passe principal à partir de Dashlane Password Manager
- SIK-2016-031: Fuite de mot de passe de sous-domaine dans le navigateur interne de Dashlane Password Manager
L'application populaire 1Password quatre Android présentait cinq vulnérabilités, notamment des problèmes de confidentialité et des fuites de mots de passe.
- SIK-2016-038: Fuite de mot de passe de sous-domaine dans le navigateur interne de 1Password
- SIK-2016-039: rétrogradation Https vers l'URL http par défaut dans le navigateur interne de 1Password
- SIK-2016-040: Titres et URL non chiffrés dans la base de données 1Password
- SIK-2016-041: Lire les données privées du dossier d'application dans 1Password Manager
- SIK-2016-042: Problème de confidentialité, informations divulguées au fournisseur 1Password Manager
Vous pouvez consulter le liste complète des applications analysé et les vulnérabilités sur le site Internet de l'Institut Fraunhofer.
Remarque : Toutes les vulnérabilités révélées ont été corrigées par les sociétés qui développent les applications. Certains correctifs sont encore en développement. Il est recommandé de mettre à jour les applications dès que possible si vous les exécutez sur vos appareils mobiles.
La conclusion de l'équipe de recherche est assez dévastatrice:
Bien que cela montre que même les fonctions les plus élémentaires d'un gestionnaire de mots de passe sont souvent vulnérables, ces applications fournissent également des fonctionnalités supplémentaires, qui peuvent, encore une fois, affecter la sécurité. Nous avons constaté que, par exemple, les fonctions de remplissage automatique des applications pouvaient être utilisées de manière abusive pour voler les secrets stockés de l'application de gestion de mots de passe à l'aide d'attaques de «hameçonnage caché». Pour une meilleure prise en charge des formulaires de mot de passe à remplissage automatique dans les pages Web, certaines applications fournissent leurs propres navigateurs Web. Ces navigateurs sont une source supplémentaire de vulnérabilités, telles que les fuites de confidentialité.
Maintenant, c'est à votre tour : Utilisez-vous une application de gestion de mots de passe? (via L'actualité des hackers )