发现9款流行的密码管理应用泄露了你的秘密

有什么安全的吗？现在是2017年，答案很可能是否定的。

确保密码安全是第一道防线；用于您的计算机、电子邮件和信息；针对黑客企图，许多安全专家建议使用密码管理器将所有密码安全保存在一个地方。

密码管理器是一种软件，它可以创建复杂的密码，存储它们，组织计算机、网站、应用程序和网络的所有密码，并代表您记住它们。

好吧，这不仅仅是一种想象，一份新报告显示，一些最流行的密码管理器受到可能暴露用户凭据的关键漏洞的影响。

该报告由德国弗劳恩霍夫安全信息技术研究所TeamSIK的一组安全专家于周二发布，报告显示，谷歌Play上最受欢迎的9个安卓密码管理器易受一个或多个安全漏洞的攻击。

受一个或多个缺陷影响的流行Android密码管理器应用

团队检查了LastPass、Keeper、1密码、我的密码、Dashlane密码管理器、Informaticore的密码管理器、F-Secure密钥、Keepsafe和Avast密码；每台都有10万到5000万次安装。TeamSIK说：“总体结果非常令人担忧，并显示，尽管密码管理器应用程序声称，但它们没有为存储的密码和凭据提供足够的保护机制”。

在每个应用程序中，研究人员都发现了一个或多个安全漏洞，共发行26期；所有这些都是向应用程序制造商报告的，并在该组织的报告公开之前修复。

应用程序代码中硬编码的主密钥的加密密钥

该团队称，一些密码管理器应用程序容易受到数据残留攻击和剪贴板嗅探。一些应用程序以明文形式存储主密码，甚至在代码中公开加密密钥。

例如，Informaticore的Password Manager应用程序存在一个严重缺陷，原因是该应用程序以加密形式存储主密码，加密密钥硬编码在应用程序代码中。在LastPass中也发现了类似的错误。

事实上，在某些情况下，用户存储的密码可能很容易被安装在用户设备上的任何恶意应用程序访问和过滤。

除了这些问题，研究人员还发现，大多数密码管理器应用程序中的自动填充功能可能会被滥用，通过“隐藏的网络钓鱼”攻击窃取存储的机密。

还有什么更令人担忧？任何攻击者都可以轻松利用研究人员发现的许多缺陷，而无需root权限。

易受攻击的密码管理器及其缺陷列表

以下是TeamSIK在一些最流行的Android密码管理器中披露的漏洞列表：

我的密码

• 读取我的密码应用程序的私人数据
• 我的密码应用程序的主密码解密
• 免费高级功能解锁我的密码

密码：密码管理器

• 1Password内部浏览器中的子域密码泄漏
• 默认情况下，HTTPS在1Password内部浏览器中降级为HTTP URL
• 1密码数据库中未加密的标题和URL
• 从1Password Manager中的应用文件夹读取私人数据
• 隐私问题，信息泄露给供应商1Password Manager

LastPass密码管理器

• LastPass密码管理器中的硬编码主密钥
• LastPass浏览器搜索中的隐私和数据泄漏
• 从LastPass密码管理器读取私人数据（存储的主密码）

计算机密码管理器

• Microsoft密码管理器中的凭据存储不安全

管理员密码管理器

• 管理员密码管理器安全问题旁路
• Keeper Password Manager无主密码的数据注入

Dashlane密码管理器

• 从Dashlane密码管理器中的应用文件夹读取私人数据
• Dashlane密码管理器浏览器中的谷歌搜索信息泄漏
• 从Dashlane密码管理器中提取主密码的残余攻击
• 内部Dashlane密码管理器浏览器中的子域密码泄漏

F-Secure密钥密码管理器

• F-Secure KEY Password Manager不安全的凭证存储

隐藏图片纪念保险库

• Keepsafe明文密码存储

Avast密码

• 从Avast密码管理器窃取应用程序密码
• Avast密码管理器中流行站点的不安全默认URL
• Avast密码管理器中安全通信中断的实现

研究人员还将在下月的HITB会议上介绍他们的发现。有关每个漏洞的更多技术细节，用户可以访问TeamSIK报告。

由于供应商已经解决了上述所有问题，因此强烈建议用户尽快更新密码管理器应用程序，因为现在黑客已经掌握了利用密码管理器应用程序易受攻击版本所需的所有信息。