Problemas de seguridad encontrados en nueve administradores de contraseñas para Android (LastPass, Dashlane ..)

Los investigadores de seguridad del Instituto Fraunhofer encontraron graves problemas de seguridad en nueve administradores de contraseñas para Android que analizaron como parte de su investigación.

Los administradores de contraseñas son una opción popular cuando se trata de almacenar información de autenticación. Todos prometen un almacenamiento seguro, ya sea de forma local o remota, y algunos pueden agregar otras características a la combinación, como la generación de contraseñas, los inicios de sesión automáticos o el almacenamiento de datos importantes, como números de tarjetas de crédito o pines.

Un estudio reciente del Instituto Fraunhofer analizó nueve administradores de contraseñas para el sistema operativo Android de Google desde el punto de vista de la seguridad. Los investigadores analizaron los siguientes administradores de contraseñas: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper y Avast Passwords.

Algunas de las aplicaciones tienen más de 50 millones de instalaciones y todas al menos 100.000 instalaciones.

Administradores de contraseñas en el análisis de seguridad de Android

android password managers

La conclusión del equipo debería preocupar a cualquiera que implemente un administrador de contraseñas en Android. Si bien no está claro si otras aplicaciones de administración de contraseñas para Android también tienen vulnerabilidades, existe al menos una posibilidad de que este sea el caso.

Los resultados generales fueron extremadamente preocupantes y revelaron que las aplicaciones de administración de contraseñas, a pesar de sus afirmaciones, no brindan suficientes mecanismos de protección para las contraseñas y credenciales almacenadas. En cambio, abusan de la confianza de los usuarios y los exponen a altos riesgos.

Se identificó al menos una vulnerabilidad de seguridad en cada una de las aplicaciones que analizaron los investigadores. Esto llegó tan lejos como para que algunas aplicaciones almacenaran la clave maestra en texto plano y otras usaran claves criptográficas codificadas en código. En otro caso, la instalación de una aplicación de ayuda simple extrajo las contraseñas almacenadas por la aplicación de contraseñas.

Se identificaron tres vulnerabilidades solo en LastPass. Primero una clave maestra codificada, luego filtraciones de datos en la búsqueda del navegador y, finalmente, una vulnerabilidad que afecta a LastPass en Android 4.0.xy versiones anteriores que permite a los atacantes robar la contraseña maestra almacenada.

  • SIK-2016-022: Clave maestra codificada en LastPass Password Manager
  • SIK-2016-023: Privacidad, fuga de datos en la búsqueda del navegador de LastPass
  • SIK-2016-024: Leer fecha privada (contraseña maestra almacenada) de LastPass Password Manager

Se identificaron cuatro vulnerabilidades en Dashlane, otra popular aplicación de administración de contraseñas. Estas vulnerabilidades permitieron a los atacantes leer datos privados de la carpeta de la aplicación, abusar de las filtraciones de información y ejecutar un ataque para extraer la contraseña maestra.

  • SIK-2016-028: Leer datos privados de la carpeta de aplicaciones en Dashlane Password Manager
  • SIK-2016-029: Fuga de información de búsqueda de Google en el navegador de Dashlane Password Manager
  • SIK-2016-030: Ataque de residuos que extrae la contraseña maestra de Dashlane Password Manager
  • SIK-2016-031: Fuga de contraseñas de subdominio en el navegador interno de Dashlane Password Manager

La popular aplicación 1Password para Android tenía cinco vulnerabilidades, incluidos problemas de privacidad y filtración de contraseñas.

  • SIK-2016-038: Fuga de contraseña de subdominio en el navegador interno 1Password
  • SIK-2016-039: Https degrada a la URL http de forma predeterminada en el navegador interno 1Password
  • SIK-2016-040: Títulos y URL no cifrados en la base de datos de 1Password
  • SIK-2016-041: Leer datos privados de la carpeta de la aplicación en 1Password Manager
  • SIK-2016-042: Problema de privacidad, información filtrada al administrador de contraseña del proveedor 1

Puedes ver el lista completa de aplicaciones analizados y las vulnerabilidades en el sitio web del Instituto Fraunhofer.

Nota : Todas las vulnerabilidades reveladas han sido corregidas por las empresas que desarrollan las aplicaciones. Algunas correcciones aún están en desarrollo. Se recomienda que actualice las aplicaciones lo antes posible si las ejecuta en sus dispositivos móviles.

La conclusión del equipo de investigación es bastante devastadora:

Si bien esto muestra que incluso las funciones más básicas de un administrador de contraseñas a menudo son vulnerables, estas aplicaciones también brindan características adicionales que, nuevamente, pueden afectar la seguridad. Descubrimos que, por ejemplo, se podría abusar de las funciones de autocompletar para aplicaciones para robar los secretos almacenados de la aplicación del administrador de contraseñas mediante ataques de 'phishing oculto'. Para una mejor compatibilidad con el llenado automático de formularios de contraseña en las páginas web, algunas de las aplicaciones proporcionan sus propios navegadores web. Estos navegadores son una fuente adicional de vulnerabilidades, como la fuga de privacidad.

Ahora tu : ¿Utiliza una aplicación de administrador de contraseñas? (vía The Hacker News )