Популярные менеджеры паролей угрожают безопасности данных

По данным ИБ-экспертов, популярные менеджеры паролей (программы для генерирования и хранения паролей) представляют угрозу безопасности данных. Согласно отчету команды исследователей TeamSIK Института безопасных информационных технологий Фраунгофера (Германия), девять популярных менеджеров паролей для Android-устройств из магазина Google Play содержат одну или более уязвимостей.

Специалисты проанализировали LastPass, Keeper, 1Password, My Passwords, Dashlane Password Manager, Password Manager от Informaticore, F-Secure KEY, Keepsafe и Avast Passwords. Каждая программа была загружена из Google Play от 100 тыс. до 50 млн раз. Как выяснилось в ходе исследования, ни одно приложение не обеспечивает надлежащую защиту хранящихся в них учетных данных.

В общей сложности эксперты обнаружили в вышеупомянутых программах 26 уязвимостей и сообщили о них производителям. До публикации результатов исследования все проблемы с безопасностью были исправлены.

Согласно отчету, многие приложения уязвимы к атакам перехвата данных, передаваемых между приложением и буфером обмена, и восстановлению остаточной информации. Некоторые приложения хранят мастер-пароль в открытом виде или даже содержат ключи шифрования в своем коде. К примеру, LastPass и Password Manager от Informaticore хранят мастер-пароли в зашифрованном виде, но неизменяемые ключи шифрования содержатся в самом коде программ.

В некоторых случаях получить доступ к хранящимся в менеджерах паролей учетным данным можно, заразив устройство жертвы вредоносным ПО. Как отметили исследователи, злоумышленники могут проэксплуатировать уязвимости в приложениях даже без прав суперпользователя.