Znane menedżery haseł na Androida mają wspólną wadę – nie poznają fałszywych aplikacji

Użytkowników korzystających z menedżerów haseł na Androidzie powinna zainteresować poruszona w internecie kwestia ich bezpieczeństwa. Jak wynika z jednych z najnowszych badań w tym zakresie, większość najpopularniejszych menedżerów ma wspólną wadę. Okazuje się, że nie potrafią skutecznie rozpoznawać fałszywych aplikacji, a przez to dane logowania, które zostały wcześniej połączone z prawdziwą witryną, mogą zostać zaproponowane w fałszywych programach, z których użytkownik może korzystać nieświadomie.

Znane menedżery haseł na Androida mają wspólną wadę – nie poznają fałszywych aplikacji
Oskar Ziomek

27.09.2018 11:42

Szczegóły opisuje serwis ZDNet i jak zauważa, głównym punktem zaczepienia dla potencjalnych atakujących jest stosunkowo prosta możliwość zmiany faktycznej nazwy pakietu własnej aplikacji, by tym samym podszyć się pod oficjalny program. Do tego wystarczy jeszcze sklonować interfejs, by dla przyszłej ofiary dana aplikacja wydawała się tą właściwą. Reszta to tylko formalność: podczas logowania w programie, menedżer haseł skutecznie podpowie dane użytkownika (bazując na teoretycznej zgodności nazw), a w praktyce dane trafią w niepowołane ręce.

Przykład zastosowania aplikacji Keeper w połączeniu z fałszywą wersją Facebooka, źródło: publikacja z badaniami.
Przykład zastosowania aplikacji Keeper w połączeniu z fałszywą wersją Facebooka, źródło: publikacja z badaniami.

Jak wynika z przedstawionych testów, problem ten dotyczy aż czterech z pięciu wziętych pod uwagę popularnych menedżerów. Wadliwy w tym kontekście jest Keeper, Dashlane, LastPass oraz aplikacja 1Password, ale odporny pozostaje Smart Lock proponowany przez Google. Powód jest jednak dość prosty – w tym przypadku do łączenia danych z witrynami wykorzystywana jest inna metoda, Digital Asset Links.

W badaniach zwraca się także uwagę na inny problem menedżerów. Okazuje się, że te nie mają także innych zabezpieczeń i bez problemu proponują hasła również w tych aplikacjach, w których formularze logowania są niemal całkowicie przezroczyste, tego samego koloru co tło oraz szerokości i wysokości niewiele większej od jednego piksela na ekranie. Co więcej, menedżery skutecznie zaproponują hasła także w przypadku aplikacji błyskawicznych, a to zdaniem badaczy kolejny błąd. W ich ocenie takie aplikacje powinny od razu trafiać na czarną listę i nie być obsługiwane przez menedżery haseł.

Podsumowanie cech badanych menedżerów haseł, źródło: publikacja z badaniami.
Podsumowanie cech badanych menedżerów haseł, źródło: publikacja z badaniami.

Co ciekawe, problem niedopracowanych zabezpieczeń w menedżerach nie kończy się w tym miejscu. Po zakończonych badaniach, autorzy zwrócili się do twórców przetestowanych aplikacji, aby poinformować ich o swoich spostrzeżeniach. Jak informują badacze, wszystkie firmy podeszły do tematu profesjonalnie, deklarując opublikowanie własnych spostrzeżeń w tym temacie. Pierwsze informacje pojawiły się już ze strony producentów aplikacji Keeper, którzy we wpisie blogowym przestrzegają przed korzystaniem z aplikacji z nieznanych źródeł i dodają, że od niedawna Keeper wyraźnie informuje użytkownika, iż nie jest w stanie zweryfikować wiarygodności programu, który dodawany jest do obsługi przez menedżera.

LastPast przesłał natomiast serwisowi ZDNet oświadczenie: Na tę konkretną lukę w ekosystemie aplikacji na Androidzie naszą uwagę zwrócono już przez uczelnię w Genui we Włoszech oraz badaczy EURECOM za pośrednictwem naszego programu Big Bounty (...) w aplikacji LastPass na Androida już zaimplementowaliśmy zmiany, aby złagodzić i zminimalizować ryzyko potencjalnego ataku szczegółowo opisanego w tym raporcie. Nasza aplikacja wymaga jawnej zgody użytkownika przed wypełnianiem jakichkolwiek nieznanych aplikacji (...) W tej chwili nie mamy żadnego powodu, aby sądzić, że jakiekolwiek wrażliwe dane użytkownika LastPass zostały naruszone... – czytamy w oficjalnym stanowisku.

Na koniec warto jeszcze dodać, że zespół badaczy skontaktował się z Google i zaproponował bezpieczną metodę weryfikacji nazw aplikacji w formie alternatywnego API. Na tę chwilę pozostaje więc mieć nadzieję, że przyszłe wersje Androida będą pod tym względem bezpieczniejsze. Do tego czasu jak zwykle w takich sytuacjach najlepszym rozwiązaniem jest rozsądne podejście do korzystania z mobilnych aplikacji i sumienne sprawdzanie ich autentyczności.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (14)