The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

02.03.2017 08:31  Небезопасное хранение данных в менеджерах паролей для платформы Android

Исследователи из группы TeamSIK опубликовали результаты проверки безопасности самых популярных менеджеров паролей для платформы Android. Менеджеры паролей часто рекомендуются как надёжный и безопасный способ хранения паролей с использованием гарантирующих конфеденциальность криптографических методов, но упускается то, что сам менеджер паролей является слабым звеном и может лишь создавать иллюзию защищённости, так как уязвимость в нём может привести к попаданию в руки злоумышленника сразу всех паролей. Например, какие бы надёжные криптографические методы не использовались для шифрования хранилища, их сведёт на нет шифрование мастер-пароля ключом, прописанным в коде приложения.

Для изучения были выбраны самые популярные по числу загрузок менеджеры паролей, представленные в каталоге Google Play. Результаты предпринятой проверки оказались плачевными и не лучше, чем при анализе VPN-приложений для Android - в 9 менеджерах паролей выявлены серьёзные уязвимости, позволяющие получить доступ к закрытой информации.

В том числе во многих приложениях мастер-пароль или ключ для его шифрования был доступен для извлечения, пароли хранились в открытом виде или не была обеспечена должная защита хранилища. Кроме того, приложения оказались не защищены от применения дополнительных снифферов ввода и не очищали буфер обмена после передачи через него пароля. Также отмечается достаточно длительный срок устранения выявленных проблем - о большинстве уязвимостей разработчикам было сообщено ещё осенью прошлого года, а исправления были выпущены лишь спустя несколько месяцев.

Наиболее интересные проблемы:



  1. Главная ссылка к новости (https://team-sik.org/trent_por...)
  2. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
  3. OpenNews: Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика
  4. OpenNews: В рамках проекта CopperheadOS развивается защищённый вариант платформы Android
  5. OpenNews: Проект Tor представил прототип защищённого смартфона на платформе Android
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: password, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 08:50, 02/03/2017 [ответить] [смотреть все]
  • +7 +/
    Сапожники без сапог. Тоже самое с антивирусами. Из свежего: http://seclists.org/fulldisclosure/2017/Feb/68 "Remote Code Execution as Root via ESET Endpoint Antivirus 6"
     
  • 1.2, Аноним, 08:55, 02/03/2017 [ответить] [смотреть все]
  • +1 +/
    Шикарно MyPasswords SIK-2016-043 Free Premium Features Unlock for My Password... весь текст скрыт [показать]
     
     
  • 2.3, Аноним, 09:08, 02/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это не то, что можно подумать The free application from the google play store ... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, iv, 09:18, 02/03/2017 [ответить] [смотреть все]  
  • +8 +/
    По ссылке только проблемные приложения. А что нибудь нормально работающее они нашли?
     
     
  • 2.9, A.Stahl, 09:38, 02/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +8 +/
    Хранение секретных данных это целая наука и сложно ожидать глубоких знаний от разработчиков андроид-приложений для домохозяек. Тут логичней воспользоваться чем-то таким (https://play.google.com/store/apps/details?id=tk.asciigames.GoodPass&hl=ru), что в принципе пароли не хранит, а просто делает их более удобными для запоминания человеком.
     
     
  • 3.57, Iaaa, 13:12, 02/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Фигня Например, первый из паролей со скрина - DutyZad3 - легко брутфорсится по ... весь текст скрыт [показать]
     
     
  • 4.58, A.Stahl, 13:19, 02/03/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Ну-у-у... Легко, значит, брутфорсится? Ну если ты так говоришь...
     
  • 4.76, Аномномномнимус, 18:18, 02/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Все столь короткие пароли прекрасно брутфорсятся Нормальная длина - хотя бы 16 ... весь текст скрыт [показать]
     
  • 4.87, я, 22:15, 02/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Это смотря что брутфорсить Если сетевой сервис - здесь, пожалуй, опасны только ... весь текст скрыт [показать]
     
  • 4.99, Аноним, 19:40, 03/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Вот потому, Iaaa, что некторые даже не отличают брутфорс от перебора по словарю,... весь текст скрыт [показать]
     
  • 2.26, Аноним, 10:53, 02/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +10 +/
    https://play.google.com/store/apps/details?id=com.android.keepass
     
     
  • 3.69, Аноним, 15:42, 02/03/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Навались дружнее, чо так мало минусов Для недалёких поясню open source, поддер... весь текст скрыт [показать]
     
  • 3.72, BlackRaven86, 16:42, 02/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Хороший, сам им пользуюсь. Совместимость с десктопным KeePassX очень помогает.
     
  • 3.73, fi, 16:50, 02/03/2017 [^] [ответить] [смотреть все]  
  • +/
    тоже удивлен что его нет в анализе.

    И кажись GPL-ый

     
     
  • 4.74, Andrey Mitrofanov, 16:56, 02/03/2017 [^] [ответить] [смотреть все]  
  • +/
    play google com store apps Креститься https f-droid org repository browse ... весь текст скрыт [показать]
     
  • 3.89, h31, 02:26, 03/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Мне больше этот вариант нравится https play google com store apps details id ... весь текст скрыт [показать]
     
     
  • 4.94, Andrey Mitrofanov, 09:08, 03/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Keeoass2 на mono Этот _тоже_ Мигель-то -- молодецЬ Та Ты Чо ... весь текст скрыт [показать]
     
  • 4.97, Аноним, 10:13, 03/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Это та кодовая база, которая без VCS пишется?
     
  • 2.90, romanegunkov, 03:13, 03/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Надёжное это которое использует scrypt с параметрами не ниже рекомендуемых, полн... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, Mohn, 09:21, 02/03/2017 [ответить] [смотреть все]  
  • +6 +/
    А как насчет KeepassDroid?
     
     
  • 2.12, Аноним, 09:50, 02/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    http://fc13.ifca.ai/proc/4-2.pdf
     
     
  • 3.21, Аномномномнимус, 10:39, 02/03/2017 [^] [ответить] [смотреть все]  
  • –22 +/
    Какая-то длинная портянка на языке потенциального противника, в которой мылятся ... весь текст скрыт [показать]
     
     
  • 4.23, A.Stahl, 10:47, 02/03/2017 [^] [ответить] [смотреть все]  
  • +22 +/
    >на языке потенциального противника

    Божежтыжмой... У-х-х-х...
    >А по сути есть что?

    Водка подешевела.

     
     
  • 5.28, Аномномномнимус, 10:57, 02/03/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    > Водка подешевела.

    Хорошо тебе...

     
  • 5.46, Аноним, 12:11, 02/03/2017 [^] [ответить] [смотреть все]  
  • –4 +/
    >Водка подешевела.

    Для тебя это основной смысл жизни?

     
     
  • 6.64, Andrey Mitrofanov, 14:23, 02/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Для вас и это длинн, я поясню Нет, для вас, которым слишком длинно и фчём смыс... весь текст скрыт [показать]
     
     
  • 7.77, Аномномномнимус, 18:39, 02/03/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    В глум он может Ржу У тебя и остальных просто бомбануло от одной старой фраз... весь текст скрыт [показать]
     
     
  • 8.95, Ordu, 10:07, 03/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    > бомбануло от одной старой фразы.

    Ах вот как ты видишь ситуацию... лол.

     
  • 3.54, Аноним, 12:22, 02/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Не читал, но название уже наводит на мысль, что не про то тут Keepass отчищает ... весь текст скрыт [показать]
     
  • 2.78, Аноним, 19:14, 02/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    https://f-droid.org/repository/browse/?fdid=com.android.keepass
     
  • 1.6, Аноним, 09:28, 02/03/2017 [ответить] [смотреть все]  
  • +1 +/
    LastPass дыряв by design , сколько там дыр не находи, они всё равно на одни гра... весь текст скрыт [показать]
     
  • 1.7, dimqua, 09:32, 02/03/2017 [ответить] [смотреть все]  
  • +4 +/
    Нашли чего тестить. Да кому нужна эта проприетарщина?
     
     
  • 2.11, сисястая_тян, 09:46, 02/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    ретрошаровцы, поди, телефонами вообще не пользуются. :)
     
  • 2.101, chinarulezzz, 15:00, 05/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    нужна для пиара.
     
  • 1.8, Аноним, 09:37, 02/03/2017 [ответить] [смотреть все]  
  • +3 +/
    Мда, KeepSafe - 10 млн установок, у остальных от миллиона до пяти И гады, как в... весь текст скрыт [показать]
     
     
  • 2.10, adminlocalhost, 09:39, 02/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    А что они должны писать в описаниях себя?  "мы дырявое сито"?
     
  • 1.13, Аноним, 09:53, 02/03/2017 [ответить] [смотреть все]  
  • +/
    И зачем все эти софтины без совместимости с keepass bd нужны Интересно, у них д... весь текст скрыт [показать]
     
  • 1.14, Аноним, 10:08, 02/03/2017 [ответить] [смотреть все]  
  • –2 +/
    уж сколько раз твердили миру: не устанавливайте крап из google play
     
     
  • 2.17, A.Stahl, 10:17, 02/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +8 +/
    Предлагаешь устанавливать его из файлопомоек с apk-шками?
     
     
  • 3.25, Проходямимо, 10:50, 02/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    F-Droid А конкретно KeePassDroid или как там p s смотрю ты активизировался ... весь текст скрыт [показать]
     
     
  • 4.27, A.Stahl, 10:56, 02/03/2017 [^] [ответить] [смотреть все]  
  • +8 +/
    >F-Droid.

    А какая же божественная десница не пускает в F-Droid халтуру? М?

     
     
  • 5.55, Аноним, 12:25, 02/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Такая, что там сначала обсуждают на форуме, что туда пускать Некоторый хороший ... весь текст скрыт [показать]
     
  • 4.60, diggya, 13:49, 02/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Баян Приложение, тырящее буфер обмена забирает себе все пароли Все приложения ... весь текст скрыт [показать]
     
     
  • 5.79, Аноним, 19:19, 02/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Расскажите как можно использовать без буфера обмена Запомнить пасс в 20 символо... весь текст скрыт [показать]
     
  • 1.15, Аноним, 10:14, 02/03/2017 [ответить] [смотреть все]  
  • +11 +/
    Приложения для обеспечения секретности должны быть с открытым кодом - необходимое условие. Это должно восприниматься как Отче наш.
     
     
  • 2.96, Ordu, 10:09, 03/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Это должно восприниматься как Отче наш.

    Приступ неудержимой рвоты.

     
  • 1.16, яя, 10:15, 02/03/2017 [ответить] [смотреть все]  
  • +/
    умные клавиатуры на смартфонах могут отправлять все, что было введену кому-то неизвестному в интернете. какой смысл хранить все пароли в закрытом хранилище, если они в сеть могут слиться еще на стадии ввода в БД?
     
     
  • 2.22, Аноним, 10:44, 02/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    фаерволом им запретить лезть туда
     
  • 1.19, ryoken, 10:27, 02/03/2017 [ответить] [смотреть все]  
  • +2 +/
    Вкратце: На ведроиде безопасности нет или нужен напильник. (Всякие там альтернативные прошивки + вдумчивое копание по специализированным ресурсам).
     
  • 1.20, Аноним, 10:31, 02/03/2017 [ответить] [смотреть все]  
  • +1 +/
    Да почти все дырявы передают пароль через буфер обмена вместо использования acc... весь текст скрыт [показать]
     
  • 1.29, Аноним, 10:58, 02/03/2017 [ответить] [смотреть все]  
  • +1 +/
    Пишут, что Через полгода после репортов пофиксили Я, честно, удивлен, что кто-т... весь текст скрыт [показать]
     
     
  • 2.30, Аноним, 11:37, 02/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    На фоне изученных в отчёте дополнений с миллионами активных установок, KeePassDr... весь текст скрыт [показать] [показать ветку]
     
  • 2.31, mumu, 11:42, 02/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –5 +/
    Интерфейс и юзабилити у него на уровне первых андроидов Он где-то там так и ост... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.70, Аноним, 15:45, 02/03/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Я сам за юзабилити Но то что вы и вам подобные называеют этим словом - я называ... весь текст скрыт [показать]
     
  • 1.35, Аноним, 11:53, 02/03/2017 [ответить] [смотреть все]  
  • –1 +/
    Видимо, расчет на шифрование всего устройства Менеджерпаролей - прога чтоб паро... весь текст скрыт [показать]
     
  • 1.36, Аноним, 11:57, 02/03/2017 [ответить] [смотреть все]  
  • –1 +/
    SafeInCloud наше всё!
     
     
  • 2.59, Антон, 13:24, 02/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А он с открытым кодом Довольно интересный вариант, но как убедиться что ему мо... весь текст скрыт [показать] [показать ветку]
     
  • 1.53, Аноним, 12:17, 02/03/2017 [ответить] [смотреть все]  
  • +1 +/
    Всё, что попадает в руки комерсантов превращается в тыкву главное красивая обёр... весь текст скрыт [показать]
     
  • 1.56, vantoo, 12:28, 02/03/2017 [ответить] [смотреть все]  
  • +/
    За LastPass особенно обидно. А я ему доверял. Хоть и не самые важные пароли, но всякие регистрации на сайтиках.
     
  • 1.63, Алексей, 14:18, 02/03/2017 [ответить] [смотреть все]  
  • +/
    password store (который работает с "pass: the standard unix password manager") синхронизируется через свой git сервер, и шифрует с запороленным PGP

    хотя для обычного юзера это весьма "легко" ;-)

     
     
  • 2.65, Антон, 14:27, 02/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    наверно очень удобно использовать его в андроид-телефоне ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.66, Алексей, 14:39, 02/03/2017 [^] [ответить] [смотреть все]  
  • +/
    после тщательной настройки, все вполне юзабильно.
     
  • 1.68, Аноним, 15:25, 02/03/2017 [ответить] [смотреть все]  
  • +/
    ccrypt на гугель драйв а пароль 25 знаков в бумажном блокноте тока, какой олень ... весь текст скрыт [показать]
     
     
  • 2.71, Andrey Mitrofanov, 16:29, 02/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вы шифрование свопа и тмп забылЪ И тмпфс-а И ту опцию в глибц-е с очисткой пам... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.75, НяшМяш, 18:07, 02/03/2017 [^] [ответить] [смотреть все]  
  • +/
    В конце - киянкой по голове для амнезии, чтобы даже под пытками свой пароль нико... весь текст скрыт [показать]
     
  • 1.86, Аноним, 20:43, 02/03/2017 [ответить] [смотреть все]  
  • +/
    Интересно по 1Password Эти его уязвимости только андроид-версии касаются Его в... весь текст скрыт [показать]
     
  • 1.88, Аноним, 23:24, 02/03/2017 [ответить] [смотреть все]  
  • +1 +/
    Копирование паролей через буфер обмена действительно небезопасно by design Я пр... весь текст скрыт [показать]
     
     
  • 2.91, Аноним, 06:14, 03/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В keepass2android уже есть.
     
  • 1.92, Аноним, 07:05, 03/03/2017 [ответить] [смотреть все]  
  • +1 +/
    По названию ждал howto.
     
     
  • 2.93, 123, 07:36, 03/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Кулхацкеры в треде Ждут когда им сделают пошаговый мануал с картинками Как ук... весь текст скрыт [показать] [показать ветку]
     
  • 1.98, DmA, 17:36, 03/03/2017 [ответить] [смотреть все]  
  • +/
    кто-то считает Андроиды хоть сколько нибудь безопасными? По моему  к 4/5 всех работающих в мире Андроид устройств не выходили никакие обновления! А уж про настройки и закрытости прошивок и напичканности в этих прошивках всяких недокументированных свойств я вообще молчу. На текуoий момент можно считать, что нет никакой безопасности в сотовой связи, рядом она там даже не стояла!
     
  • 1.100, Виталий, 20:53, 03/03/2017 [ответить] [смотреть все]  
  • +/
    KeePassDroid (KeePass-compatible password safe) - https://f-droid.org/app/com.android.keepass
     
  • 1.102, Аноним, 13:51, 08/03/2017 [ответить] [смотреть все]  
  • +/
    Что не делают люди лишь бы не использовать PasswdSafe...
     
  • 1.103, Pavel, 16:00, 13/03/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    По LastPass почитал конкретику - не так всё и плохо. Да если поставил галочку сохранять мастер-пароль (суицид по определению) то его потом можно расшифровать, плюс проблемы с браузером встроенным в LastPass (для меня сюрприз что он там вообще есть!) В принципе не смертельно, но баг конечно довольно детский.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList