9 개의 Android 용 암호 관리자 (LastPass, Dashlane ..)에서 발견 된 보안 문제

• 범주: 보안

문제를 제거하기 위해 도구를 사용해보십시오

운영 체제를 선택하십시오 Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro 투영 프로그램을 선택하십시오 (선택적으로) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

당신의 문제를 설명하십시오

답을 얻으십시오

이메일로 저를 보내주세요 사이트에 표시하십시오

Fraunhofer Institute의 보안 연구원은 연구의 일환으로 분석 한 9 명의 Android 비밀번호 관리자에서 심각한 보안 문제를 발견했습니다.

암호 관리자는 인증 정보를 저장할 때 널리 사용되는 옵션입니다. 모두 로컬 또는 원격으로 안전한 스토리지를 약속하며 일부는 암호 생성, 자동 로그인 또는 신용 카드 번호 또는 핀과 같은 중요한 데이터 저장과 같은 다른 기능을 혼합에 추가 할 수 있습니다.

Fraunhofer Institute의 최근 연구에서는 보안 관점에서 Google Android 운영 체제의 암호 관리자 9 명을 조사했습니다. 연구원들은 LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore의 Password Manager, F-Secure KEY, Keepsafe, Keeper 및 Avast Passwords와 같은 암호 관리자를 분석했습니다.

일부 앱은 5 천만 개 이상 설치되었으며 모두 최소 100,000 개 이상 설치되었습니다.

Android 보안 분석의 비밀번호 관리자

팀의 결론에는 Android에서 비밀번호 관리자를 구현하는 사람이 누구인지 걱정해야합니다. 다른 Android 용 비밀번호 관리자 애플리케이션에도 취약성이 있는지 여부는 불분명하지만 적어도 이것이 사실 일 가능성은 있습니다.

전체적인 결과는 매우 걱정 스러웠고 암호 관리자 응용 프로그램은 주장에도 불구하고 저장된 암호 및 자격 증명에 대해 충분한 보호 메커니즘을 제공하지 않는다는 것이 드러났습니다. 대신 사용자의 신뢰를 남용하고 높은 위험에 노출시킵니다.

연구원들이 분석 한 각 앱에서 하나 이상의 보안 취약점이 확인되었습니다. 이것은 마스터 키를 일반 텍스트로 저장하는 일부 애플리케이션과 코드에서 하드 코딩 된 암호화 키를 사용하는 애플리케이션에 적용되었습니다. 다른 경우에는 간단한 도우미 응용 프로그램을 설치하여 암호 응용 프로그램에 저장된 암호를 추출했습니다.

LastPass에서만 세 가지 취약점이 확인되었습니다. 먼저 하드 코딩 된 마스터 키, 브라우저 검색에서 데이터 유출, 마지막으로 Android 4.0.x 이하의 LastPass에 영향을 미치는 취약점으로 인해 공격자가 저장된 마스터 비밀번호를 훔칠 수 있습니다.

• SIK-2016-022 : LastPass 암호 관리자의 하드 코딩 된 마스터 키
• SIK-2016-023 : LastPass 브라우저 검색에서 개인 정보, 데이터 유출
• SIK-2016-024 : LastPass 암호 관리자에서 개인 날짜 (저장된 마스터 암호) 읽기

또 다른 인기있는 암호 관리자 애플리케이션 인 Dashlane에서 네 가지 취약점이 확인되었습니다. 이러한 취약성으로 인해 공격자는 앱 폴더에서 개인 데이터를 읽고 정보 유출을 악용하고 공격을 실행하여 마스터 비밀번호를 추출 할 수있었습니다.

• SIK-2016-028 : Dashlane Password Manager의 앱 폴더에서 개인 데이터 읽기
• SIK-2016-029 : Dashlane 비밀번호 관리자 브라우저의 Google 검색 정보 유출
• SIK-2016-030 : Dashlane 암호 관리자에서 마스터 암호를 추출하는 잔류 공격
• SIK-2016-031 : 내부 Dashlane 암호 관리자 브라우저의 하위 도메인 암호 유출

인기있는 1Password 애플리케이션 4 개의 Android에는 개인 정보 보호 문제 및 비밀번호 유출을 포함하여 5 가지 취약점이있었습니다.

• SIK-2016-038 : 1Password 내부 브라우저의 하위 도메인 비밀번호 유출
• SIK-2016-039 : 1Password 내부 브라우저에서 기본적으로 Https를 http URL로 다운 그레이드
• SIK-2016-040 : 1Password 데이터베이스에서 암호화되지 않은 제목 및 URL
• SIK-2016-041 : 1Password Manager의 앱 폴더에서 개인 데이터 읽기
• SIK-2016-042 : 개인 정보 문제, 공급 업체 1Password 관리자에게 정보 유출

당신은 확인할 수 있습니다 전체 앱 목록 Fraunhofer Institute 웹 사이트에서 취약점을 분석했습니다.

노트 : 공개 된 모든 취약점은 응용 프로그램을 개발하는 회사에서 수정했습니다. 일부 수정 사항은 아직 개발 중입니다. 모바일 장치에서 실행하는 경우 가능한 한 빨리 응용 프로그램을 업데이트하는 것이 좋습니다.

연구팀의 결론은 매우 충격적입니다.

이것은 암호 관리자의 가장 기본적인 기능조차 종종 취약하다는 것을 보여 주지만 이러한 앱은 보안에 영향을 미칠 수있는 추가 기능도 제공합니다. 예를 들어, 응용 프로그램의 자동 채우기 기능이 '숨겨진 피싱'공격을 사용하여 암호 관리자 응용 프로그램에서 저장된 비밀을 훔치기 위해 악용 될 수 있음을 발견했습니다. 웹 페이지에서 자동 완성 암호 양식을 더 잘 지원하기 위해 일부 응용 프로그램은 자체 웹 브라우저를 제공합니다. 이러한 브라우저는 개인 정보 유출과 같은 추가 취약점 소스입니다.

이제 당신 : 비밀번호 관리자 애플리케이션을 사용하십니까? (통하다 해커 뉴스 )