Fraunhofer Enstitüsü'nün güvenlik araştırmacıları, Android için dokuz parola yöneticisinde araştırmalarının bir parçası olarak analiz ettikleri ciddi güvenlik sorunları buldu.
Parola yöneticileri, kimlik doğrulama bilgilerini saklama konusunda popüler bir seçenektir. Hepsi yerel olarak veya uzaktan güvenli depolama sözü veriyor ve bazıları şifreye şifre oluşturma, otomatik giriş yapma veya Kredi Kartı numaraları veya Pinler gibi önemli verilerin kaydedilmesi gibi bazı özellikler ekleyebilir.
Fraunhofer Enstitüsü tarafından yapılan son bir araştırma, Google'ın Android işletim sistemi için dokuz parola yöneticisine güvenlik açısından baktı. Araştırmacılar şu parola yöneticilerini inceledi: LastPass, 1Password, Şifrelerim, Dashlane Parola Yöneticisi, Informaticore Parola Yöneticisi, F-Secure KEY, Keepsafe, Keeper ve Avast Parolaları.
Bazı uygulamalarda 50 milyondan fazla kurulum ve hepsinde en az 100.000 kurulum var.
Android güvenlik analizinde Şifre Yöneticileri
Takımın sonucuna Android'de bir şifre yöneticisi uygulayan birinin endişesi olmalı. Android için diğer şifre yöneticisi uygulamalarının da güvenlik açıklarına sahip olup olmadığı açık olmasa da, en azından bunun gerçekten böyle olması ihtimali var.
Genel sonuçlar son derece endişeliydi ve şifre yöneticisi uygulamalarının iddialarına rağmen depolanan şifreler ve kimlik bilgileri için yeterli koruma mekanizması sağlamadığını ortaya koydu. Bunun yerine, kullanıcıların güvenini kötüye kullanıyor ve yüksek risklere maruz bırakıyorlar.
Araştırmacıların analiz ettiği uygulamaların her birinde en az bir güvenlik açığı tespit edildi. Bu, ana anahtarı düz metin olarak saklayan bazı uygulamalar ve kodda sabit kodlanmış şifreleme tuşları kullanan diğerleri kadar ileri gitti. Başka bir durumda, basit bir yardımcı uygulamanın kurulması, şifre uygulaması tarafından depolanan şifreleri çıkardı.
Yalnızca LastPass'ta üç güvenlik açığı belirlenmiştir. Öncelikle sabit kodlanmış bir ana anahtar, ardından tarayıcı aramasında veri sızıntısı ve son olarak Android 4.0.x'te LastPass'ı etkileyen bir güvenlik açığı ve daha düşük olması, saldırganların depolanan ana şifreyi çalmasına izin verir.
- SIK-2016-022: LastPass Parola Yöneticisinde Sabit Kodlanmış Ana Anahtar
- SIK-2016-023: LastPass Tarayıcı Aramasında Gizlilik, Veri sızıntısı
- SIK-2016-024: LastPass Şifre Yöneticisinden Özel Tarihi (Saklanan Masterpassword) Oku
Diğer bir popüler şifre yöneticisi uygulaması olan Dashlane'de dört güvenlik açığı tespit edildi. Bu güvenlik açıkları, saldırganların uygulama klasöründeki özel verileri okumasına, bilgi sızıntılarını kötüye kullanmasına ve ana şifreyi çıkarmak için bir saldırı başlatmasına izin verdi.
- SIK-2016-028: Dashlane Password Manager'daki Uygulama Klasöründen Özel Verileri Oku
- SIK-2016-029: Dashlane Password Manager Tarayıcısında Google Arama Bilgilerini Sızdırıyor
- SIK-2016-030: Dashlane Şifre Yöneticisinden Masterpassword Çıkarma Kalıntı Saldırısı
- SIK-2016-031: Dahili Dashlane Şifre Yöneticisi Tarayıcısında Alt Alan Şifresi Sızıntısı
Popüler 1Password uygulaması olan dört Android, gizlilik sorunları ve şifre sızıntısı dahil beş güvenlik açığına sahipti.
- SIK-2016-038: 1Password Dahili Tarayıcıda Alt Alan Şifresi Sızıntısı
- SIK-2016-039: 1Password Dahili Tarayıcısında varsayılan olarak Https, http URL’ye düşürülüyor
- SIK-2016-040: 1Password Veritabanında Şifrelenmemiş Başlıklar ve URL'ler
- SIK-2016-041: 1Password Manager'da Uygulama Klasöründen Özel Verileri Oku
- SIK-2016-042: Gizlilik Sorunu, Satıcıya Sızan Bilgiler 1Password Manager
Analiz edilen uygulamaların tam listesini ve Fraunhofer Institute web sitesindeki güvenlik açıklarını kontrol edebilirsiniz.
Not : Açıklanan tüm güvenlik açıkları, uygulamaları geliştiren şirketler tarafından giderildi. Bazı düzeltmeler hala geliştirilme aşamasındadır. Mobil cihazlarınızda çalıştırırsanız, uygulamaları en kısa sürede güncellemeniz önerilir.
Araştırma ekibinin sonucu oldukça yıkıcı:
Bu, bir şifre yöneticisinin en temel işlevlerinin bile genellikle savunmasız olduğunu gösterirken, bu uygulamalar aynı zamanda güvenliği etkileyebilecek ek özellikler de sağlar. Örneğin, uygulamalar için otomatik doldurma işlevlerinin, "gizli kimlik avı" saldırıları kullanarak şifre yöneticisi uygulamasından saklanan sırları çalmak için kötüye kullanılabileceğini gördük. Web sayfalarındaki otomatik doldurma şifresi formlarının daha iyi desteklenmesi için uygulamaların bazıları kendi web tarayıcılarını sağlar. Bu tarayıcılar gizlilik sızıntısı gibi ek bir güvenlik açığı kaynağıdır.
Şimdi Siz : Bir şifre yöneticisi uygulaması kullanıyor musunuz? (Hacker News aracılığıyla)
