The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Небезопасное хранение данных в менеджерах паролей для платформы Android

02.03.2017 08:31

Исследователи из группы TeamSIK опубликовали результаты проверки безопасности самых популярных менеджеров паролей для платформы Android. Менеджеры паролей часто рекомендуются как надёжный и безопасный способ хранения паролей с использованием гарантирующих конфеденциальность криптографических методов, но упускается то, что сам менеджер паролей является слабым звеном и может лишь создавать иллюзию защищённости, так как уязвимость в нём может привести к попаданию в руки злоумышленника сразу всех паролей. Например, какие бы надёжные криптографические методы не использовались для шифрования хранилища, их сведёт на нет шифрование мастер-пароля ключом, прописанным в коде приложения.

Для изучения были выбраны самые популярные по числу загрузок менеджеры паролей, представленные в каталоге Google Play. Результаты предпринятой проверки оказались плачевными и не лучше, чем при анализе VPN-приложений для Android - в 9 менеджерах паролей выявлены серьёзные уязвимости, позволяющие получить доступ к закрытой информации.

В том числе во многих приложениях мастер-пароль или ключ для его шифрования был доступен для извлечения, пароли хранились в открытом виде или не была обеспечена должная защита хранилища. Кроме того, приложения оказались не защищены от применения дополнительных снифферов ввода и не очищали буфер обмена после передачи через него пароля. Также отмечается достаточно длительный срок устранения выявленных проблем - о большинстве уязвимостей разработчикам было сообщено ещё осенью прошлого года, а исправления были выпущены лишь спустя несколько месяцев.

Наиболее интересные проблемы:



  1. Главная ссылка к новости (https://team-sik.org/trent_por...)
  2. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
  3. OpenNews: Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика
  4. OpenNews: В рамках проекта CopperheadOS развивается защищённый вариант платформы Android
  5. OpenNews: Проект Tor представил прототип защищённого смартфона на платформе Android
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46121-password
Ключевые слова: password, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (74) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 08:50, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Сапожники без сапог. Тоже самое с антивирусами. Из свежего: http://seclists.org/fulldisclosure/2017/Feb/68 "Remote Code Execution as Root via ESET Endpoint Antivirus 6"
     
  • 1.2, Аноним (-), 08:55, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Шикарно:
    MyPasswords
    SIK-2016-043: Free Premium Features Unlock for My Passwords
     
     
  • 2.3, Аноним (-), 09:08, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это не то, что можно подумать: "The free application from the google play store can be upgraded to a premium version with additional features. An implementation flaw allows the user directly to upgrade the app without paying."
     

  • 1.4, iv (?), 09:18, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    По ссылке только проблемные приложения. А что нибудь нормально работающее они нашли?
     
     
  • 2.9, A.Stahl (ok), 09:38, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Хранение секретных данных это целая наука и сложно ожидать глубоких знаний от разработчиков андроид-приложений для домохозяек. Тут логичней воспользоваться чем-то таким (https://play.google.com/store/apps/details?id=tk.asciigames.GoodPass&hl=ru), что в принципе пароли не хранит, а просто делает их более удобными для запоминания человеком.
     
     
  • 3.57, Iaaa (ok), 13:12, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Фигня.

    Например, первый из паролей со скрина - DutyZad3 - легко брутфорсится по словарю.

     
     
  • 4.58, A.Stahl (ok), 13:19, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну-у-у... Легко, значит, брутфорсится? Ну если ты так говоришь...
     
  • 4.76, Аномномномнимус (?), 18:18, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Все столь короткие пароли прекрасно брутфорсятся. Нормальная длина - хотя бы 16 знаков, лучше 20.
     
  • 4.87, я (?), 22:15, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это смотря что брутфорсить. Если сетевой сервис - здесь, пожалуй, опасны только словарные пароли + некоторые видоизменения оных, да и вряд ли кому в здравом уме захочется перебирать таким образом тысячи паролей. А с хэшами при современной производительности GPU и 15-символьный alphanumeric mixed-case может не спасти. Я бы сказал, что DutyZad3 всё-таки хороший пароль - далеко не словарный и легко запоминается/вводится.
     
  • 4.99, Аноним (-), 19:40, 03/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > брутфорсится по словарю

    Вот потому, Iaaa, что некторые даже не отличают брутфорс от перебора по словарю,
    и имеем проблемы с безопасностью

     
  • 2.26, Аноним (-), 10:53, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +11 +/
    https://play.google.com/store/apps/details?id=com.android.keepass
     
     
  • 3.69, Аноним (-), 15:42, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Навались дружнее, чо так мало минусов?

    Для недалёких поясню: open source, поддерживает базу Keepassx, пароли вычищаются из буфера через таймаут или сразу после использования. Найдите надёжнее, вперёд.

     
  • 3.72, BlackRaven86 (ok), 16:42, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хороший, сам им пользуюсь. Совместимость с десктопным KeePassX очень помогает.
     
  • 3.73, fi (ok), 16:50, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    тоже удивлен что его нет в анализе.

    И кажись GPL-ый

     
     
  • 4.74, Andrey Mitrofanov (?), 16:56, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    #>>play.google.com/store/apps/
    > И кажись GPL-ый

    Креститься https://f-droid.org/repository/browse/?fdid=com.android.keepass надо.

     
  • 3.89, h31 (ok), 02:26, 03/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мне больше этот вариант нравится:
    https://play.google.com/store/apps/details?id=keepass2android.keepass2android
    У него общая кодовая база с десктопным приложением, внушает некоторое доверие.
     
     
  • 4.94, Andrey Mitrofanov (?), 09:08, 03/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >play.google
    >?id=keepass2android.keepass2android
    > У него общая кодовая база с десктопным приложением,

    Keeoass2 на mono. Этот _тоже_?? ...Мигель-то -- молодецЬ.

    >внушает некоторое доверие.

    Та. Ты Чо!?

     
  • 4.97, Аноним (-), 10:13, 03/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это та кодовая база, которая без VCS пишется?
     
  • 2.90, romanegunkov (ok), 03:13, 03/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Надёжное это которое использует scrypt с параметрами не ниже рекомендуемых, полностью офлайн и когда ни пароли ни контрольное слово не из словаря. Никакой брутфорс не пробьет. Точно было такое приложение, то по-моему не в гуглплее.
     

  • 1.5, Mohn (?), 09:21, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    А как насчет KeepassDroid?
     
     
  • 2.12, Аноним (-), 09:50, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    http://fc13.ifca.ai/proc/4-2.pdf
     
     
  • 3.21, Аномномномнимус (?), 10:39, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • –22 +/
    Какая-то длинная портянка на языке потенциального противника, в которой мылятся основы, не дочитал. А по сути есть что?
     
     
  • 4.23, A.Stahl (ok), 10:47, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +22 +/
    >на языке потенциального противника

    Божежтыжмой... У-х-х-х...
    >А по сути есть что?

    Водка подешевела.

     
     
  • 5.28, Аномномномнимус (?), 10:57, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Водка подешевела.

    Хорошо тебе...

     
  • 5.46, Аноним (-), 12:11, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >Водка подешевела.

    Для тебя это основной смысл жизни?

     
     
  • 6.64, Andrey Mitrofanov (?), 14:23, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>Водка подешевела.

    Для вас и это длинн, я поясню.

    > Для тебя это основной смысл жизни?

    Нет, для вас, которым "слишком длинно и фчём смысл", и которые не могут в глум над ними, такими незатуманенными-незатуманенными.

     
     
  • 7.77, Аномномномнимус (?), 18:39, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    В глум он может... Ржу. У тебя и остальных просто бомбануло от одной старой фразы. У вас таких "проДвинутых" всегда с неё бомбит. И вы всегда не даёте прямых ответов на заданные в начале ветви вопросы, только посылаете на левые ссылки, на давно протухшие документы с презентацией некоего мифического USecPassBoard, как панацеи от всех бед.
     
     
  • 8.95, Ordu (ok), 10:07, 03/03/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ах вот как ты видишь ситуацию лол ... текст свёрнут, показать
     
  • 3.54, Аноним (-), 12:22, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Не читал, но название уже наводит на мысль, что не про то тут. Keepass отчищает буфер-обмена, если что.
     
  • 2.78, Аноним (-), 19:14, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    https://f-droid.org/repository/browse/?fdid=com.android.keepass
     

  • 1.6, Аноним (-), 09:28, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    LastPass дыряв "by design", сколько там дыр не находи, они всё равно на одни грабли продолжают наступать - https://lastpass.com/support.php/support.php?cmd=showfaq&id=8376
     
  • 1.7, dimqua (ok), 09:32, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Нашли чего тестить. Да кому нужна эта проприетарщина?
     
     
  • 2.11, сисястая_тян (?), 09:46, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ретрошаровцы, поди, телефонами вообще не пользуются. :)
     
  • 2.101, chinarulezzz (ok), 15:00, 05/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    нужна для пиара.
     

  • 1.8, Аноним (-), 09:37, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Мда, KeepSafe - 10 млн установок, у остальных от миллиона до пяти. И гады, как в описаниях ярко себя преподносят  bank-level, military-grade.
     
     
  • 2.10, adminlocalhost (ok), 09:39, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А что они должны писать в описаниях себя?  "мы дырявое сито"?
     

  • 1.13, Аноним (-), 09:53, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И зачем все эти софтины без совместимости с keepass bd нужны? Интересно, у них до весьма популярного Keepass2android руки не дошли или с ним всё в порядке?
     
  • 1.14, Аноним (-), 10:08, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    уж сколько раз твердили миру: не устанавливайте крап из google play
     
     
  • 2.17, A.Stahl (ok), 10:17, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Предлагаешь устанавливать его из файлопомоек с apk-шками?
     
     
  • 3.25, Проходямимо (?), 10:50, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    F-Droid. А конкретно KeePassDroid или как там...
    p.s. смотрю ты активизировался. весна приходит?
     
     
  • 4.27, A.Stahl (ok), 10:56, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    >F-Droid.

    А какая же божественная десница не пускает в F-Droid халтуру? М?

     
     
  • 5.55, Аноним (-), 12:25, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>F-Droid.
    > А какая же божественная десница не пускает в F-Droid халтуру? М?

    Такая, что там сначала обсуждают на форуме, что туда пускать. Некоторый хороший софт из-за этих обсуждений там годами может не появляться. После длительной дискусии и пары сотен патчей софтину всё же добавят (может быть). Это вам не помойка гугла.

     
  • 4.60, diggya (?), 13:49, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Баян. Приложение, тырящее буфер обмена забирает себе все пароли. Все приложения паролей, работающие через буфер обмена, убыточны. Как решение есть челы, имулирующие клавиатуру, с двумя кнопками - ввести логин, ввести пароль.
     
     
  • 5.79, Аноним (-), 19:19, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Расскажите как можно использовать без буфера обмена?
    Запомнить пасс в 20 символов на каждый профиль?
     

  • 1.15, Аноним (-), 10:14, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Приложения для обеспечения секретности должны быть с открытым кодом - необходимое условие. Это должно восприниматься как Отче наш.
     
     
  • 2.96, Ordu (ok), 10:09, 03/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Это должно восприниматься как Отче наш.

    Приступ неудержимой рвоты.

     

  • 1.16, яя (?), 10:15, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    умные клавиатуры на смартфонах могут отправлять все, что было введену кому-то неизвестному в интернете. какой смысл хранить все пароли в закрытом хранилище, если они в сеть могут слиться еще на стадии ввода в БД?
     
     
  • 2.22, Аноним (-), 10:44, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    фаерволом им запретить лезть туда
     

  • 1.19, ryoken (ok), 10:27, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вкратце: На ведроиде безопасности нет или нужен напильник. (Всякие там альтернативные прошивки + вдумчивое копание по специализированным ресурсам).
     
  • 1.20, Аноним (-), 10:31, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Да почти все дырявы: передают пароль через буфер обмена вместо использования accessibility api.
     
  • 1.29, Аноним (-), 10:58, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Пишут, что

    > !! Update 2017-03-01: All reported vulnerabilities are fixed by the vendors !!

    Через полгода после репортов пофиксили.

    Я, честно, удивлен, что кто-то использует какие-то менеджеры паролей, кроме KeePassDroid . Официальный play - помойка, конечно. Не уважаю большинство разработчиков под андроид совершенно

     
     
  • 2.30, Аноним (-), 11:37, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    На фоне изученных в отчёте дополнений с миллионами активных установок, KeePassDroid имеет достаточно скромную аудиторию. По звёздочкам,  KeePassDroid имеет примерно тот же рейтинг.

    Т.е. для пользователя нет никаких индикаторов, что KeePassDroid лучше. Описания и заявленные характеристики примерно одинаковы. Посмотрят у кого больше установок и поставят дырявые из списка :-(

     
  • 2.31, mumu (??), 11:42, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Интерфейс и юзабилити у него на уровне первых андроидов. Он где-то там так и остался.
     
     
  • 3.70, Аноним (-), 15:45, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я сам за юзабилити. Но то что вы и вам подобные называеют этим словом - я называю "вылизанные яйца", и занимаются этим коты-корпорации, абы что делать, лишь бы оправдать штат гуманитариев с обостренным чувством "прекрасного"
     

  • 1.35, Аноним (-), 11:53, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Видимо, расчет на шифрование всего устройства. Менеджерпаролей - прога чтоб пароли не вводить =)
     
  • 1.36, Аноним (-), 11:57, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    SafeInCloud наше всё!
     
     
  • 2.59, Антон (??), 13:24, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А он с открытым кодом?
    Довольно интересный вариант, но как убедиться что ему можно доверять.
     

  • 1.53, Аноним (-), 12:17, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Всё, что попадает в руки комерсантов превращается в тыкву.
    главное красивая обёртка, а что там под капотом пофиг, хомячки купят и схавают, серотонин вырабатывается.
     
  • 1.56, vantoo (ok), 12:28, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    За LastPass особенно обидно. А я ему доверял. Хоть и не самые важные пароли, но всякие регистрации на сайтиках.
     
  • 1.63, Алексей (??), 14:18, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    password store (который работает с "pass: the standard unix password manager") синхронизируется через свой git сервер, и шифрует с запороленным PGP

    хотя для обычного юзера это весьма "легко" ;-)

     
     
  • 2.65, Антон (??), 14:27, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > password store (который работает с "pass: the standard unix password manager") синхронизируется
    > через свой git сервер, и шифрует с запороленным PGP
    > хотя для обычного юзера это весьма "легко" ;-)

    наверно очень удобно использовать его в андроид-телефоне.

     
     
  • 3.66, Алексей (??), 14:39, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    после тщательной настройки, все вполне юзабильно.
     

  • 1.68, Аноним (-), 15:25, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ccrypt на гугель драйв а пароль 25 знаков в бумажном блокноте тока, какой олень хранит пароли на компе
     
     
  • 2.71, Andrey Mitrofanov (?), 16:29, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > ccrypt на гугель драйв а пароль 25 знаков в бумажном блокноте тока,
    > какой олень хранит пароли на компе

    Вы шифрование свопа и тмп забылЪ. И тмпфс-а. И ту опцию в глибц-е с очисткой памяти. И...

     
     
  • 3.75, НяшМяш (ok), 18:07, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В конце - киянкой по голове для амнезии, чтобы даже под пытками свой пароль никому не сообщил.
     

  • 1.86, Аноним (-), 20:43, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно по 1Password. Эти его уязвимости только андроид-версии касаются? Его вебкой вообще не пользуюсь. У меня есть только iOS приложение и Windows stand-alone(не веб-морда!) версия.
     
  • 1.88, Аноним (-), 23:24, 02/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Копирование паролей через буфер обмена действительно небезопасно by design. Я придумал альтернативный вариант: cделать KeePassDroid клавиатурным приложением: нужно ввести пароль - переключил тип клавиатуры, разлочил базу, выбрал запись - оно ввело пароль и переключило клавиатуру обратно на нормальну.

    Feature request на гитхабе: https://github.com/bpellin/keepassdroid/issues/188. Если у кого-нибудь есть мысли по этому поводу - добро пожаловать в обсуждение.

     
     
  • 2.91, Аноним (-), 06:14, 03/03/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В keepass2android уже есть.
     

  • 1.92, Аноним (-), 07:05, 03/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    По названию ждал howto.
     
     
  • 2.93, 123 (??), 07:36, 03/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Кулхацкеры в треде.
    Ждут когда им сделают пошаговый мануал с картинками "Как украсть пароли в андроид"
     

  • 1.98, DmA (??), 17:36, 03/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    кто-то считает Андроиды хоть сколько нибудь безопасными? По моему  к 4/5 всех работающих в мире Андроид устройств не выходили никакие обновления! А уж про настройки и закрытости прошивок и напичканности в этих прошивках всяких недокументированных свойств я вообще молчу. На текуoий момент можно считать, что нет никакой безопасности в сотовой связи, рядом она там даже не стояла!
     
  • 1.100, Виталий (??), 20:53, 03/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    KeePassDroid (KeePass-compatible password safe) - https://f-droid.org/app/com.android.keepass
     
  • 1.102, Аноним (-), 13:51, 08/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что не делают люди лишь бы не использовать PasswdSafe...
     
  • 1.103, Pavel (??), 16:00, 13/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По LastPass почитал конкретику - не так всё и плохо. Да если поставил галочку сохранять мастер-пароль (суицид по определению) то его потом можно расшифровать, плюс проблемы с браузером встроенным в LastPass (для меня сюрприз что он там вообще есть!) В принципе не смертельно, но баг конечно довольно детский.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру