Peneliti keamanan dari Fraunhofer Institute menemukan masalah keamanan parah pada sembilan pengelola kata sandi untuk Android yang mereka analisis sebagai bagian dari penelitian mereka.
Pengelola kata sandi adalah opsi yang populer untuk menyimpan informasi otentikasi. Semua menjanjikan penyimpanan aman baik secara lokal maupun jarak jauh, dan beberapa mungkin menambahkan fitur lain ke dalam campuran seperti pembuatan kata sandi, masuk otomatis, atau penyimpanan data penting seperti nomor atau Pin Kartu Kredit.
Sebuah studi baru-baru ini oleh Fraunhofer Institute mengamati sembilan manajer kata sandi untuk sistem operasi Google Android dari sudut pandang keamanan. Para peneliti menganalisis manajer kata sandi berikut: LastPass, 1Password, Kata Sandi Saya, Pengelola Kata Sandi Dashlane, Pengelola Kata Sandi Informaticore, KUNCI F-Secure, Keepsafe, Keepsafe, Keeper, dan Kata Sandi Avast.
Beberapa aplikasi memiliki lebih dari 50 juta instalasi, dan semuanya setidaknya 100.000 instalasi.
Pengelola Kata Sandi pada analisis keamanan Android
Kesimpulan tim seharusnya ada yang khawatir yang mengimplementasikan pengelola kata sandi di Android. Meskipun tidak jelas apakah aplikasi pengelola kata sandi lain untuk Android juga memiliki kerentanan, setidaknya ada kemungkinan bahwa memang demikian.
Hasil keseluruhan sangat mengkhawatirkan dan mengungkapkan bahwa aplikasi pengelola kata sandi, terlepas dari klaim mereka, tidak menyediakan mekanisme perlindungan yang cukup untuk kata sandi dan kredensial yang tersimpan. Sebaliknya, mereka menyalahgunakan kepercayaan pengguna dan membuat mereka berisiko tinggi.
Setidaknya satu kerentanan keamanan diidentifikasi di masing-masing aplikasi yang dianalisis para peneliti. Ini berjalan sejauh beberapa aplikasi menyimpan kunci utama dalam teks biasa, dan yang lain menggunakan kunci kriptografi kode-sulit dalam kode. Dalam kasus lain, pemasangan aplikasi pembantu sederhana mengekstraksi kata sandi yang disimpan oleh aplikasi kata sandi.
Tiga kerentanan diidentifikasi dalam LastPass saja. Pertama, kunci master hard-coded, kemudian data bocor dalam pencarian browser, dan akhirnya kerentanan yang mempengaruhi LastPass pada Android 4.0.x dan lebih rendah yang memungkinkan penyerang mencuri kata sandi master yang disimpan.
- SIK-2016-022: Hardcoded Master Key di LastPass Password Manager
- SIK-2016-023: Privasi, kebocoran data dalam Pencarian Browser LastPass
- SIK-2016-024: Baca Tanggal Pribadi (Masterpassword Tersimpan) dari LastPass Password Manager
Empat kerentanan diidentifikasi di Dashlane, aplikasi pengelola kata sandi populer lainnya. Kerentanan ini memungkinkan penyerang untuk membaca data pribadi dari folder aplikasi, penyalahgunaan kebocoran informasi, dan menjalankan serangan untuk mengekstrak kata sandi utama.
- SIK-2016-028: Baca Data Pribadi Dari Folder Aplikasi di Dashlane Password Manager
- SIK-2016-029: Kebocoran Informasi Pencarian Google di Dashlane Password Manager Browser
- SIK-2016-030: Residue Attack Extracting Masterpassword Dari Dashlane Password Manager
- SIK-2016-031: Kebocoran Kata Sandi Subdomain di Internal Dashlane Password Manager Browser
Aplikasi 1Password empat Android yang populer memiliki lima kerentanan termasuk masalah privasi dan kebocoran kata sandi.
- SIK-2016-038: Kebocoran Kata Sandi Subdomain di Browser Internal 1Password
- SIK-2016-039: Https downgrade ke URL http secara default di 1Password Internal Browser
- SIK-2016-040: Judul dan URL Tidak Dienkripsi dalam Database 1Password
- SIK-2016-041: Baca Data Pribadi Dari Folder Aplikasi di 1Password Manager
- SIK-2016-042: Masalah Privasi, Informasi yang Bocor ke Vendor 1Password Manager
Anda dapat memeriksa daftar lengkap aplikasi yang dianalisis dan kerentanannya di situs web Fraunhofer Institute.
Catatan : Semua kerentanan yang diungkapkan telah diperbaiki oleh perusahaan yang mengembangkan aplikasi. Beberapa perbaikan masih dalam pengembangan. Anda disarankan untuk memperbarui aplikasi sesegera mungkin jika Anda menjalankannya di perangkat seluler Anda.
Kesimpulan dari tim peneliti cukup dahsyat:
Meskipun ini menunjukkan bahwa bahkan fungsi paling mendasar dari pengelola kata sandi sering kali rentan, aplikasi ini juga menyediakan fitur tambahan, yang sekali lagi dapat memengaruhi keamanan. Kami menemukan bahwa, misalnya, fungsi pengisian otomatis untuk aplikasi dapat disalahgunakan untuk mencuri rahasia yang tersimpan dari aplikasi pengelola kata sandi menggunakan serangan "phishing tersembunyi". Untuk dukungan yang lebih baik dari formulir kata sandi pengisian otomatis di halaman web, beberapa aplikasi menyediakan browser web mereka sendiri. Browser ini adalah sumber kerentanan tambahan, seperti kebocoran privasi.
Sekarang Anda : Apakah Anda menggunakan aplikasi pengelola kata sandi? (via The Hacker News)
