Sok sebből véreznek az androidos jelszókezelők

Népszerű, androidos jelszókezelő alkalmazásokról derült ki, hogy sok sebből véreznek. Egyes esetekben durva hibák kerültek felszínre.
 

A német TeamSIK biztonsági csoport úgy határozott, hogy szemügyre veszi az androidos készülékekhez elérhető legnépszerűbb jelszókezelő alkalmazásokat, és megvizsgálja, hogy azok valójában mennyire biztonságosan kezelik a rájuk bízott érzékeny adatokat. A szoftverek elemzése során a szakemberek meglehetősen aggasztónak ítélték meg a védelem szintjét. 

A vizsgált alkalmazások a következők voltak:

• MyPasswords
• Informaticore Password Manager
• LastPass Password Manager 
• Keeper Passwort-Manager 
• F-Secure KEY Password Manager 
• Dashlane Password Manager 
• Hide Pictures Keep Safe Vault 
• Avast Passwords
• 1Password - Password Manager

A fenti alkalmazásokat a felhasználók összességében már több tízmillió példányban telepítették, tehát a kutatók által feltárt kockázatok valóban széles körű problémákra világítanak rá. 

A vizsgálatok során kiderült, hogy a fenti alkalmazások mindegyike tartalmazott legalább egy alacsony, közepes vagy magas veszélyességi besorolású sebezhetőséget. Összesen 26 sérülékenységről hullt le a lepel. Ezeket a TeamSIK jelezte az érintett fejlesztőknek, mielőtt a tanulmányát nyilvánosságra hozta volna. Jó hír, hogy a fejlesztők pozitívan reagáltak, és már csak az Avast dolgozik a hibajavításon. A többiek az értesítéstől számított egy hónapon belül frissítették a szoftvereiket, és megszüntették a feltárt biztonsági réseket.

A kutatók által felfedezett sérülékenységek között egészen durvák is megtalálhatóak voltak, különösen annak fényében, hogy olyan programokról beszélünk, amelyek hitelesítési adatokat is őriznek. Volt olyan alkalmazás, amely sima szöveges fájlban tárolta a mesterjelszót, aminek a feladata nem más, mint hogy az összes többi jelszót és érzékeny adatot védje. 

Problémaként jelentkezett, hogy egyes esetekben káros alkalmazások bevonásával is kinyerhetők voltak bizalmas adatok. Az is előfordult, hogy bizonyos szoftverek az eltávolításuk után maguk után hagytak értékes információkat. Mindezek mellett az automatikus kitöltést segítő, kényelmi szolgáltatások is vetettek fel kockázatokat.
A TeamSIK szerint a legdurvább biztonsági hiba az Informaticore Password Manager esetében merült fel. Az alkalmazás ugyanis a titkosításhoz használt egyik kulcsot a saját kódjában, beégetett módon tárolta. Ráadásul ezt az egyetlen kulcsot használta minden telepítés alkalmával. Hasonló kockázatok a LastPass kapcsán is napvilágra kerültek. 

"Az összkép nagyon aggasztó, és arra világít rá, hogy a jelszókezelő alkalmazások - ellentétben a fejlesztői állításokkal - nem mindig nyújtanak kellő szintű védelmet a jelszavak és a hitelesítési adatok tárolásához. Ehelyett hamis biztonságérzetet keltenek a felhasználókban, ami tovább fokozza a kockázatokat" - vélekedtek a TeamSIK kutatói. Ettől független természetesen még mindig nagyobb biztonságban vannak a jelszókezelők által tárolt adatok, mintha azokat egyszerűen csak lementenénk egy szöveges állományba, vagy egy jegyzetet készítenénk hozzájuk. Viszont szem előtt kell tartani, hogy azért a jelszókezelőkkel védett adatok is kiszolgáltatottá válhatnak.