Udviklere af password manager-programmer lukker huller

Udviklerne af programmer til at holde styr på passwords under Android har lukket 26 sikkerhedshuller.

En gruppe sikkerhedsforskere fra Fraunhofer Institute for Secure Information Technology i Tyskland har analyseret de mest populære password manager-programmer på Google Play. De fandt en række sikkerhedshuller, der nu er lukket.

En password manager opbevarer alle brugerens passwords. De er beskyttet med et master-password.

Det viste sig, at nogle apps lagrede master-passwordet ukrypteret på smartphonen. Andre krypterede det, men lagde krypteringsnøglen i programkoden, så en angriber havde mulighed for at finde den.

Mange apps havde også sikkerhedshuller i forbindelse med udklipsholderen: Når en bruger skal bruge et password, kopieres det til udklipsholderen. Herefter kan det indsættes i den app eller webside, der skal bruge det. Men appsene undlod at slette indholdet af udklipsholderen bagefter, så andre apps kunne se det.

Problemet kan løses ved i stedet at implementere password manageren som et tastatur.

Forskerne fandt problemer i følgende apps:

  • MyPasswords
  • Informaticore Password Manager
  • LastPass Password Manager
  • Keeper Passwort-Manager
  • F-Secure KEY Password Manager
  • Dashlane Password Manager
  • Hide Pictures Keep Safe Vault
  • Avast Passwords
  • 1Password – Password Manager

Anbefaling

Opdater til den rettede version af password manager-appen.

Links