forum.opennet.ru

Составление сообщения

Исходное сообщение

"Небезопасное хранение данных в менеджерах паролей для платфо..."
Отправлено opennews, 02-Мрт-17 08:50

Исследователи из группы TeamSIK опубликовали (https://team-sik.org/trent_portfolio/password-manager-apps/) результаты проверки безопасности менеджеров паролей для платформы Android. Результаты оказались не лучше, чем при анализе (https://www.opennet.ru/opennews/art.shtml?num=45940) VPN-приложений для Android - в 9 менеджерах паролей выявлены серьёзные уязвимости, позволяющие получить доступ к закрытой информации. В том числе в некоторых приложениях мастер-пароль был доступен для извлечения, пароли хранились в открытом виде или не была обеспечена должная защита хранилища. Также отмечается достаточно длительный срок устранения выявленных проблем - о большинстве уязвимостей разработчикам было сообщено ещё осенью прошлого года, а исправления были выпущены лишь спустя несколько месяцев.
Наиболее интересные проблемы:
-  MyPasswords (https://play.google.com/store/apps/details?id=com.er.mo.apps...) - возможность чтения закрытых данных и дешифрования мастер-пароля;
-  Informaticore/Mirsoft Password Manager (https://play.google.com/store/apps/details?id=com.mirsoft.pa...) - небезопасное (https://team-sik.org/sik-2016-021/) хранение учётных записей, ключ для доступа к мастер-паролю был вшит в код приложения;
-  LastPass Password Manager (https://play.google.com/store/apps/details?id=com.lastpass.l...) - вшитый фиксированный универсальный ключ доступа, утечка данных через функцию поиска и возможность извлечения мастер пароля;
-  Keeper Passwort-Manager (https://play.google.com/store/apps/details?id=com.fsecure.key) - возможность обхода контрольного вопроса и возможность подстановки данных в защищённое хранилище без ввода мастер-пароля;
-  F-Secure KEY Password Manager (https://play.google.com/store/apps/details?id=com.dashlane) - небезопасное хранение учётных записей, хранение мастер-пароля в открытом виде;

-  Dashlane Password Manager (https://play.google.com/store/apps/details?id=com.dashlane) - возможность чтения закрытых данных из каталога приложения, возможность извлечения мастер-пароля и утечка паролей для поддоменов;
-  Hide Pictures Keep Safe Vault (https://play.google.com/store/apps/details?id=com.kii.safe) - хранение паролей в открытом виде;
-  Avast Passwords (https://play.google.com/store/apps/details?id=com.avast.andr...) - получение информации о паролях через из утечку при автозаполнении форм, обращение к типовым страницам входа популярных сайтов без шифрвания по HTTP, передача данных на внешний бэкенд по HTTP;
-  1Password (https://play.google.com/store/apps/details?id=com.agilebits....) - возможность чтения закрытых данных из каталога приложения, вход по умолчанию по HTTP, хранение заголовков и URL без шифрования, утечка паролей для поддоменов.
URL: https://team-sik.org/trent_portfolio/password-manager-apps/
Новость: http://www.opennet.ru/opennews/art.shtml?num=46121

Исходное сообщение
"Небезопасное хранение данных в менеджерах паролей для платфо..." Отправлено opennews, 02-Мрт-17 08:50
Исследователи из группы TeamSIK опубликовали (https://team-sik.org/trent_portfolio/password-manager-apps/) результаты проверки безопасности менеджеров паролей для платформы Android. Результаты оказались не лучше, чем при анализе (https://www.opennet.ru/opennews/art.shtml?num=45940) VPN-приложений для Android - в 9 менеджерах паролей выявлены серьёзные уязвимости, позволяющие получить доступ к закрытой информации. В том числе в некоторых приложениях мастер-пароль был доступен для извлечения, пароли хранились в открытом виде или не была обеспечена должная защита хранилища. Также отмечается достаточно длительный срок устранения выявленных проблем - о большинстве уязвимостей разработчикам было сообщено ещё осенью прошлого года, а исправления были выпущены лишь спустя несколько месяцев. Наиболее интересные проблемы: - MyPasswords (https://play.google.com/store/apps/details?id=com.er.mo.apps...) - возможность чтения закрытых данных и дешифрования мастер-пароля; - Informaticore/Mirsoft Password Manager (https://play.google.com/store/apps/details?id=com.mirsoft.pa...) - небезопасное (https://team-sik.org/sik-2016-021/) хранение учётных записей, ключ для доступа к мастер-паролю был вшит в код приложения; - LastPass Password Manager (https://play.google.com/store/apps/details?id=com.lastpass.l...) - вшитый фиксированный универсальный ключ доступа, утечка данных через функцию поиска и возможность извлечения мастер пароля; - Keeper Passwort-Manager (https://play.google.com/store/apps/details?id=com.fsecure.key) - возможность обхода контрольного вопроса и возможность подстановки данных в защищённое хранилище без ввода мастер-пароля; - F-Secure KEY Password Manager (https://play.google.com/store/apps/details?id=com.dashlane) - небезопасное хранение учётных записей, хранение мастер-пароля в открытом виде; - Dashlane Password Manager (https://play.google.com/store/apps/details?id=com.dashlane) - возможность чтения закрытых данных из каталога приложения, возможность извлечения мастер-пароля и утечка паролей для поддоменов; - Hide Pictures Keep Safe Vault (https://play.google.com/store/apps/details?id=com.kii.safe) - хранение паролей в открытом виде; - Avast Passwords (https://play.google.com/store/apps/details?id=com.avast.andr...) - получение информации о паролях через из утечку при автозаполнении форм, обращение к типовым страницам входа популярных сайтов без шифрвания по HTTP, передача данных на внешний бэкенд по HTTP; - 1Password (https://play.google.com/store/apps/details?id=com.agilebits....) - возможность чтения закрытых данных из каталога приложения, вход по умолчанию по HTTP, хранение заголовков и URL без шифрования, утечка паролей для поддоменов. URL: https://team-sik.org/trent_portfolio/password-manager-apps/ Новость: http://www.opennet.ru/opennews/art.shtml?num=46121

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Исследователи из группы TeamSIK опубликовали (https://team-sik.org/trent_portfolio/password-manager-apps/) 
> результаты проверки безопасности менеджеров паролей для платформы Android. Результаты 
> оказались не лучше, чем при анализе (https://www.opennet.ru/opennews/art.shtml?num=45940) 
> VPN-приложений для Android - в 9 менеджерах паролей выявлены серьёзные уязвимости, 
> позволяющие получить доступ к закрытой информации. В том числе в некоторых 
> приложениях мастер-пароль был доступен для извлечения, пароли хранились в открытом виде 
> или не была обеспечена должная защита хранилища. Также отмечается достаточно длительный 
> срок устранения выявленных проблем - о большинстве уязвимостей разработчикам было сообщено 
> ещё осенью прошлого года, а исправления были выпущены лишь спустя несколько 
> месяцев.

> Наиболее интересные проблемы:

> -  MyPasswords (https://play.google.com/store/apps/details?id=com.er.mo.apps.mypasswords) 
> - возможность чтения закрытых данных и дешифрования мастер-пароля;

> -  Informaticore/Mirsoft Password Manager (https://play.google.com/store/apps/details?id=com.mirsoft.passwordmemory) 
> - небезопасное (https://team-sik.org/sik-2016-021/) хранение учётных записей, ключ 
> для доступа к мастер-паролю был вшит в код приложения;

> -  LastPass Password Manager (https://play.google.com/store/apps/details?id=com.lastpass.lpandroid) 
> - вшитый фиксированный универсальный ключ доступа, утечка данных через функцию поиска 
> и возможность извлечения мастер пароля;

> -  Keeper Passwort-Manager (https://play.google.com/store/apps/details?id=com.fsecure.key) 
> - возможность обхода контрольного вопроса и возможность подстановки данных в защищённое 
> хранилище без ввода мастер-пароля;

> -  F-Secure KEY Password Manager (https://play.google.com/store/apps/details?id=com.dashlane) 
> - небезопасное хранение учётных записей, хранение мастер-пароля в открытом виде;

> -  Dashlane Password Manager (https://play.google.com/store/apps/details?id=com.dashlane) 
> - возможность чтения закрытых данных из каталога приложения, возможность извлечения мастер-пароля 
> и утечка паролей для поддоменов; 
> -  Hide Pictures Keep Safe Vault (https://play.google.com/store/apps/details?id=com.kii.safe) 
> - хранение паролей в открытом виде;

> -  Avast Passwords (https://play.google.com/store/apps/details?id=com.avast.android.passwordmanager) 
> - получение информации о паролях через из утечку при автозаполнении форм, 
> обращение к типовым страницам входа популярных сайтов без шифрвания по HTTP, 
> передача данных на внешний бэкенд по HTTP;

> -  1Password (https://play.google.com/store/apps/details?id=com.agilebits.onepassword) 
> - возможность чтения закрытых данных из каталога приложения, вход по умолчанию 
> по HTTP, хранение заголовков и URL без шифрования, утечка паролей для 
> поддоменов.

> URL: https://team-sik.org/trent_portfolio/password-manager-apps/ 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=46121

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру