У популярных менеджеров паролей обнаружены серьезные недостатки

Исследователи безопасности обнаружили, что некоторые из самых популярных менеджеров паролей также являются уязвимыми. Они позволяют хакерам взломать и украсть информацию так же легко, как если бы эта информация была сохранена в текстовом файле.

Специалисты Independent Security Evaluators (ISE) протестировали ряд менеджеров паролей (в т. ч. встроенных в браузеры и платного программного обеспечения), разработчики которых утверждали, что не позволят злоумышленникам украсть хранящиеся в ПО пароли. В результате было обнаружено, что практически каждый инструмент имеет уязвимость и может быть взломан. При этом, заявленный уровень безопасности не может быть обеспечен.

 Несмотря на то, что диспетчеры паролей предоставляют утилиту для хранения логинов/паролей и ограничивают повторное их использование, данные приложения являются уязвимой целью для массового сбора данных посредством вредоносных хакерских атак.

Компания детально проанализировала 1Password, Dashlane, KeePass и LastPass, чтобы определить, насколько они надежны в защите пользователей от кражи учетных данных. В результате тестирования выявлено, что каждое из указанных приложений имеет «серьезные» уязвимости, в том числе простоту кражи мастер-пароля, используемого для защиты других от посторонних глаз. Это означает, что получив доступ к главному паролю злоумышленнику автоматически становятся доступны все остальные сохраненные данные. Это делает рассматриваемые платформы бесполезными с точки зрения выполнения их основной задачи.

Менеджер паролей 1Password

Все четыре менеджера паролей можно взломать в фоновом режиме, когда они заблокированы главным паролем. А самые последние версии 1Password и Dashlane могут быть взломаны как в заблокированном, так и в разблокированном состоянии. Все четыре менеджера могут быть взломаны с помощью вредоносной программы.

Пользователи считают, что использование менеджеров паролей делает хранение их данных на устройствах более безопасным. Исследование ISE показало несостоятельность и ошибочность таких убеждений, предупреждая пользователей о ложном чувстве безопасности при использовании таких приложений. ISE рекомендует пользователям правильно закрывать свои менеджеры паролей, когда они не используются.

В соответствии с отчетом специалистов Independent Security Evaluators, изначально предполагалось, что пароль-менеджеры предназначены для защиты секретов в «неработающем состоянии», которое определялось как истинное. Однако впоследствии было выяснено, что имеется непоследовательность в очистке хранимых «секретов» и не удалении их из памяти, когда ПО находится в открытом (разблокированном) состоянии и, что более важно, когда они помещены в заблокированное состояние.

Таким образом, если диспетчеры паролей не смогут обеспечить секретность хранимой информации в заблокированном рабочем состоянии, то это станет лакомой приманкой для злоумышленников. Поэтому разработчики рассмотренных приложений должны приложить максимум усилий для устранения выявленных уязвимостей и обеспечить минимальный набор «гарантий безопасности» своим программам, работающим на рабочей станции пользователя.

Мы надеемся, что после исправления выявленных ошибок, будут проведены дополнительные исследования на предмет уязвимости этих ПО. Они помогут обнаружить новые возможные векторы атак злоумышленников, которые могут быть предприняты для взлома менеджеров паролей. А также разработка возможных способов их устранения.

Материал подготовил: вITязь

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.