pt

9 Aplicativos populares de Gerenciador de Senhas encontrados vazando seus segredos | Fórum

Localização do tópico: Início do fórum » Forum » Segurança
Buganet Ouro
Buganet Mar 2
Há algo seguro? Em 2017, e a resposta provável é NÃO.


Certifique-se de que suas senhas são seguras é uma da primeira linha de defesa - para seu computador, email,
e informação - de encontro às tentativas da pirataria, e os gerentes da senha são esse recomendado por muitos peritos da segurança manter todas suas senhas seguras em um lugar.

Gerente de senhas são software que cria senhas complexas, armazena-los e organiza todas as senhas para seus computadores, sites, aplicativos e redes, bem como lembrá-los em seu nome.

Mas e se seus gerenciadores de senhas forem vulneráveis?

Bem, não é apenas uma imaginação, como um novo relatório revelou que alguns dos gerentes de senha mais populares são afetados por vulnerabilidades críticas que podem expor credenciais de usuário.
O relatório, publicado na terça-feira por um grupo de especialistas em segurança da TeamSIK do Instituto
Fraunhofer para a Tecnologia de Informação Segura na Alemanha, revelou que nove dos mais populares gerenciadores de senhas do Android disponíveis no Google Play são vulneráveis a uma ou mais vulnerabilidades de segurança.

Aplicativos populares do Android Password Manager afetados por um ou mais defeitos

A equipe examinou LastPass, Keeper, 1Password, Minhas Senhas, Dashlane Password Manager, Gerenciador de Senhas do Informaticore, F-Secure KEY, Keepsafe e Avast Senhas - cada uma das quais tem entre 100.000
e 50 milhões de instalações.

"Os resultados globais foram extremamente preocupantes e revelaram que os aplicativos de gerenciador de senhas, apesar de suas alegações, não fornecem mecanismos de proteção suficientes para as senhas e credenciais armazenadas", disse TeamSIK.

Em cada aplicação, os pesquisadores descobriram uma ou mais vulnerabilidades de segurança - um total de 26 problemas - todos os quais foram relatados aos fabricantes de aplicativos e foram corrigidos antes de o relatório do grupo ser divulgado.

Chaves de criptografia para chave mestra Hard-codificado no código do aplicativo

De acordo com a equipe, alguns aplicativos de gerenciador de senhas eram vulneráveis a ataques de resíduo de dados e o sniffing da área de transferência. Alguns dos aplicativos armazenados a senha mestre em texto simples ou mesmo exposto criptografia chaves no código.

Por exemplo, uma falha de alta gravidade afectou o aplicativo Gerenciador de Senhas da Informaticore, que era devido ao aplicativo armazenar a senha mestra em um formulário criptografado com a chave de criptografia codificada no próprio código do aplicativo. Um bug semelhante também foi descoberto no LastPass.

De fato, em alguns casos, as senhas armazenadas pelo usuário poderiam ter sido facilmente acedidas e exemplo filtradas por qualquer aplicativo malicioso instalado no dispositivo do usuário.

Além desses problemas, os pesquisadores também descobriram que as funções de preenchimento automático na maioria dos aplicativos de gerenciador de senhas podem ser abusadas para roubar segredos armazenados através de ataques de "phishing escondido".

E o que é mais preocupante? Qualquer atacante poderia ter explorado facilmente muitas das falhas descobertas pelos pesquisadores sem precisar de permissões de root.

Lista de gerentes de senha vulneráveis e defeitos que os afetam

Aqui está a lista de vulnerabilidades divulgadas em alguns dos mais populares gerenciadores de senhas do Android pelo TeamSIK:

My Passwords

Leia dados privados da aplicação My Passwords
Descriptografia de senhas mestre do aplicativo Minhas senhas
Recursos Premium gratuitos Desbloqueio param Minhas Senhas

1Password - Gerenciador de Senhas
Vazamento de Senha de Subdomínio no Navegador Interno 1Password
HTTPS downgrade para URL HTTP por padrão em 1Password Internal Browser
Títulos e URLs não criptografados no banco de dados 1Password
Ler dados privados da pasta de aplicativos no Gerenciador de 1Password
Problema de privacidade, informações vazadas para o fornecedor 1Password Manager

LastPass Password Manager
Chave mestra codificada em LastPass Password Manager
Privacidade, vazamento de dados no LastPass Browser Search
Ler dados privados (senha do mestre armazenado) de LastPass Password Manager

Gerenciador de senhas do Informaticore
Armazenamento de credenciais inseguro no Microsoft Password Manager


Gerente de senha do depositário
Keeper Password Manager Pergunta de Segurança Bypass
Keeper Password Gerenciador de Injeção de Dados sem Senha Mestra

Dashlane Password Manager
Ler dados privados da pasta de aplicativos no Dashlane Password Manager
Vazamento de informações de pesquisa do Google no navegador Dashlane Password Manager
Ataque de Resíduos Extraindo Senha Mestra do Dashlane Password Manager
Vazamento de Senha de Subdomínio no Navegador Interno do Dashlane Password Manager

F-Secure KEY Password Manager
F-Secure KEY Gerenciador de senhas Insecure Credential Storage

Ocultar imagens Keepsafe Vault
Armazenamento de Senhas

Senhas Avast
Roubo de senha do aplicativo do Avast Password Manager
Insecure URLs padrão para sites populares no Avast Password Manager
Implementação de comunicação segura quebrada no Avast Password Manager
Pesquisador também vai apresentar suas descobertas na conferência HITB no próximo mês. Para obter mais detalhes técnicos sobre cada vulnerabilidade, os usuários podem aceder o relatório TeamSIK

Uma vez que os fornecedores têm abordado todas essas questões listadas acima, os usuários são fortemente aconselhados a atualizar seus aplicativos de gerenciador de senhas o mais rápido possível, porque agora os hackers têm todas as informações necessárias para explorar as versões vulneráveis dos aplicativos de gerenciador de senhas.


Essa postagem é editada por Buganet Mar 3