9 menedżerów haseł na Androida było dziurawych. Było – a będą znowu?

W dzisiejszych czasach trudno obejść się bez konieczności zapamiętywania różnego rodzaju haseł i kodów. Bez względu na to, czy mowa jest o PIN-ie do karty SIM, haśle do forum lub kluczu zabezpieczeń sieci Wi-Fi, w pewnym momencie może okazać się, że zapamiętanie wszystkich skomplikowanych kombinacji jedynie w głowie jest naprawdę trudne. Wtedy z pomocą przychodzą menedżery haseł, również te mobilne. Ale dlaczego w ich bezpieczeństwo tak łatwo wierzyć? Ostatnio przeprowadzone przez TeamSIK badania ujawniły, że wycieki danych są możliwe nawet z najpopularniejszych programów.

TeamSIK wziął pod lupę najpopularniejsze menedżery haseł na Androida, które dostępne są przez oficjalne źródło dystrybucji w Sklepie Play. Wyboru dokonano biorąc pod uwagę liczbę pobrań. Po przeprowadzonych testach okazało się, że w 9 aplikacjach dopuszczono się co najmniej jednego niedopatrzenia, w wyniku którego hasła zapisane w programie mogły wyciec, gdyby spróbować wykonać na nich nawet prosty atak.

Łącznie wykryto aż 26 zagrożeń, pochodzących z aplikacji:

• MyPasswords,
• Informaticore Password Manager,
• LastPass Password Manager,
• Keeper Passwort-Manager,
• F-Secure KEY Password Manager,
• Dashlane Password Manager,
• Hide Pictures Keep Safe Vault,
• Avast Passwords,
• 1Password – Password Manager.

Jedną z najbardziej nagannych praktyk, jakie wykryto było przechowywanie głównego hasła do programu w niezaszyfrowanej formie oraz ujawnianie wprost klucza zabezpieczeń w kodzie.

Część z aplikacji nie stawiła też czoła zewnętrznemu programowi, który w kilka chwil dostał się do teoretycznie zaszyfrowanych przy ich pomocy danych. Zwrócono również uwagę na niedbalstwo w zakresie czyszczenia schowka: większość programów po prostu tego nie robiła, co stanowić mogło furtkę dla złośliwego oprogramowania „podsłuchującego” jego zawartość.

Najbardziej niepokojący był jednak fakt, iż wszystkie wykryte niedociągnięcia można było wykorzystać prostymi atakami, do przeprowadzenia których zewnętrzne programy nie potrzebowałyby nawet uprawnień roota. W skrócie – hipotetyczną ofiarą wycieku haseł mogła paść każda osoba, która korzystała z powyższych aplikacji.

Co w tym wszystkim najbardziej cieszy to fakt, że znakomita większość wymienionych w raporcie usterek została niemal natychmiast załatana przez twórców oprogramowania. Sytuacja jest dynamiczna i ostatnie błędy mogą zostać załatane lada moment. Już za chwilę będzie można zatem uznać, że aplikacje są ponownie bezpieczne (o ile dysponujemy ich najnowszą wersją).

Nie zmienia to natomiast faktu, że obecnie kwestia bezpieczeństwa i zagrożeń, które wynikają z powierzania naszej prywatności aplikacjom jest bardzo istotna. Wcześniej prawdopodobnie mało kto spodziewałby się, że tak zaufane programy mogą nie być w zakresie bezpieczeństwa dopracowane w najmniejszych szczegółach.

Czy wkrótce będziemy zmuszeni do jedynego słusznego rozwiązania, a więc treningu pamięci i przechowywania namnażających się haseł tylko w głowie?