Af Torben B. Sørensen, 02/03/17
En gruppe sikkerhedsforskere fra Fraunhofer Institute for Secure Information Technology i Tyskland har analyseret de mest populære password manager-programmer på Google Play. De fandt en række sikkerhedshuller, der nu er lukket.
En password manager opbevarer alle brugerens passwords. De er beskyttet med et master-password.
Det viste sig, at nogle apps lagrede master-passwordet ukrypteret på smartphonen. Andre krypterede det, men lagde krypteringsnøglen i programkoden, så en angriber havde mulighed for at finde den.
Mange apps havde også sikkerhedshuller i forbindelse med udklipsholderen: Når en bruger skal bruge et password, kopieres det til udklipsholderen. Herefter kan det indsættes i den app eller webside, der skal bruge det. Men appsene undlod at slette indholdet af udklipsholderen bagefter, så andre apps kunne se det.
Problemet kan løses ved i stedet at implementere password manageren som et tastatur.
Forskerne fandt problemer i følgende apps:
- MyPasswords
- Informaticore Password Manager
- LastPass Password Manager
- Keeper Passwort-Manager
- F-Secure KEY Password Manager
- Dashlane Password Manager
- Hide Pictures Keep Safe Vault
- Avast Passwords
- 1Password – Password Manager
Anbefaling
Opdater til den rettede version af password manager-appen.
Links
- Password-Manager Apps, TeamSIK
- Popular Android Password Managers Expose Credentials, artikel fra SecurityWeek