partner serwisu

Wadliwe menedżery haseł dla Androida

Wadliwe menedżery haseł dla Androida
Autor:
Marek Kowalski
Data publikacji:
6 marca 2017, 23:01
Średnia ocena:
Twoja ocena:
Tagi:
1password, android, bitdefender, dashlane password manager, f-secure key, instytut fraunhofera, keepsafe, lastpass, menedżery haseł, my passwords, password managers

Na oficjalnym blogu firmy Bitdefender pojawił się wpis, który powinien być przestrogą dla wszystkich osób, które na swoich urządzeniach mobilnych pracujących pod kontrolą systemu Android, korzystają z menedżerów haseł, czyli aplikacji, które - teoretycznie - w bezpieczny sposób ułatwiają przechowywanie i korzystanie z haseł do licznych usług online.

Aplikacje takie jak LastPass, 1Password czy My Password to doskonale znane produkty posiadaczom smartfonów z Androidem. Z tego typu mobilnych aplikacji korzysta dziś kilkadziesiąt milionów ludzi tkwiących - jak się okazuje - w ułudzie bezpieczeństwa. Specjaliści z niemieckiego Instytutu Fraunhofera poddali analizie co najmniej dziewięć różnych menedżerów haseł dla Androida i - nie jest to dobra wiadomość - odkryli aż 29 wad w kodzie tych programów. Są to błędy stanowiące potencjalne zagrożenie dla bezpieczeństwa danych użytkowników przechowywanych w tego typu aplikacjach. Problem jest poważny, ponieważ wiele osób korzysta z menedżerów haseł nie tylko do przechowywania haseł dostępowych do wielu usług online, ale również do zapisywania informacji poufnych, czy danych finansowych takich jak numery kont, kart kredytowych, numery PIN kart płatniczych.

W niezwykle popularnym, opisywanym również w naszym serwisie menedżerze haseł LastPass naukowcy znaleźli trzy poważne luki narażające dane użytkowników. W innym programie o nazwie Dashlane Password Manager tych luk wykryto cztery. Jeszcze więcej odkryto w wieloplatformowym (popularnym szczególnie na urządzeniach mobilnych Apple) menedżerze haseł 1Password - aż pięć. 

Jeszcze bardziej przeraża fakt, że specjaliści z Instytutu Fraunhofera odkryli, iż hasło główne stosowane w niektórych programach przechowywane było w postaci jawnego tekstu. Innymi słowy: nie było w ogóle zaszyfrowane! Gdy weźmiemy pod uwagę to, że hasło główne menedżera haseł umożliwia dostęp do całej bazy wszystkich haseł i informacji poufnych użytkownika, tego typu wada powinna całkowicie dyskwalifikować dane rozwiązanie. 

Mamy też dobrą wiadomość: wszystkie wykryte wady w kodzie testowanych menedżerów (a były to: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper oraz Avast Passwords) powinny już być naprawione. Naukowcy przekazali wyniki badań producentom tych aplikacji i od 1 marca br. wszystkie znalezione usterki miały zostać naprawione. Nasza rada? Mimo wszystko menedżery haseł przydają się do pamiętania haseł dla wielu mniej ważnych dla nas usług. Ale takie rzeczy jak PIN do naszej karty płatniczej, czy hasło dostępowe do prywatnego e-maila powinniśmy najlepiej przechowywać w głowie.

Brak komentarzy do tej publikacji. Dodaj pierwszy komentarz.