Nhóm bảo mật TeamSIK của Đức vừa qua đã đưa ra bản báo cáo về các lổ hổng bảo mật trong các ứng dụng quản lý mật khẩu thông dụng trên Android.

9 ứng dụng quản lý mật khẩu an toàn trên Android bị đánh giá thiếu an toàn

 

Đảm bảo mật khẩu của bạn được an toàn là một trong những điều phải làm đầu tiên trong việc bảo vệ, tránh cho máy tính, email và thông tin của bạn khỏi hacker. Những ứng dụng Quản lý Mật khẩu luôn được các chuyên gia bảo mật khuyến khích dùng để có thể dễ quản lý tất cả chuỗi bí mật của bạn tại một nơi duy nhất.

Ứng dụng quản lý mật khẩu là những phần mềm tạo ra các mật khẩu phức tạp, lưu trữ và quản lý tất cả các mật khẩu trên các máy tính, các trang web, các ứng dụng và hệ thống mạng của bạn, cũng như ghi nhớ chúng thay cho bạn.

Nhưng sẽ ra sao nếu các ứng dụng này dễ bị tấn công?

Theo như một báo cáo mới đây đã tiết lộ rằng một vài ứng dụng quản lý mật khẩu phổ biến nhất có những lổ hổng bảo mật nghiêm trọng có thể làm lộ thông tin của người dùng.

Cụ thể, báo cáo được công bố hôm thứ ba bởi một nhóm các chuyên gia bảo mật từ TeamSIK của Viện Công nghệ Bảo mật Thông tin Fraunhofer tại Đức đã tiết lộ rằng 9 trong số các ứng dụng quản lý mật khẩu Android phổ biến nhất hiện có trên Google Play có nguy cơ bị tấn công thông qua các lổ hổng bảo mật đang tồn tại.

Ứng dụng quản lý mật khẩu phổ biến trên Android đều có một hoặc nhiều lổ hổng bảo mật

9 ứng dụng quản lý mật khẩu an toàn trên Android bị đánh giá thiếu an toàn

Nhóm chuyên gia đã thử nghiệm trên các ứng dụng nổi tiếng như LastPass, Keeper, 1Password, My Passwords, Dashlane Password Manager, Password Manager Informaticore, F-Secure KEY, Keepsafe và Avast Passwords – mỗi ứng dụng có đều có số lượt tải về giao động từ 100.000 đến 50 triệu lượt.

“Các kết quả tổng thể rất đáng lo ngại và tiết lộ rằng các ứng dụng quản lý mật khẩu không cung cấp đủ các cơ chế bảo vệ cho những mật khẩu và thông tin được lưu trữ như những gì mà các nhà sản xuất ứng dụng đã hứa hẹn” TeamSIK chia sẻ.

Trong mỗi ứng dụng, các nhà nghiên cứu phát hiện ra một hoặc nhiều lỗ hổng bảo mật – tổng cộng 26 trường hợp – tất cả những trường hợp đó hiện đã được báo cáo tới các công ty sản xuất ứng dụng và đã được cập nhật sửa chữa trước khi báo cáo này của nhóm được công bố rộng rãi.

Mật khẩu chính được lưu trong mã lệnh của chính ứng dụng

9 ứng dụng quản lý mật khẩu an toàn trên Android bị đánh giá thiếu an toàn

Theo nhóm nghiên cứu, một số ứng dụng quản lý mật khẩu dễ dàng bị tấn công thông qua những dữ liệu thừa và clipboard. Một số khác thì lưu trữ các mật khẩu chủ dưới dạng văn bản hoặc thậm chí để lộ ra những khóa mã hóa dưới dạng code.

Ví dụ, một lỗ hổng nguy hiểm ảnh hưởng đến ứng dụng Informaticore’s Password Manager. Ứng dụng đã lưu trữ các mật khẩu chính trong một mật mã với những khóa được mã hóa được code trong dòng lệnh của chính ứng dụng. Lổ hổng nãy cũng xuất hiện tương tự trên ứng dụng LastPass.

Thực tế, trong một số trường hợp, các mật khẩu được lưu trữ của người dùng có thể dễ dàng bị truy cập và lấy ra bởi bất kỳ ứng dụng độc hại được cài đặt trên thiết bị của người dùng.

Bên cạnh những vấn đề này, nhóm nghiên cứu cũng phát hiện ra rằng chức năng auto-fill (tự động điền thông tin) trong các ứng dụng quản lý mật khẩu có thể bị lợi dụng để ăn cắp các thông tin riêng tư thông qua các cuộc tấn công giả mạo.

Và điều đáng lo ngại hơn?

Đó là các kẻ tấn công có thể dễ dàng lợi dụng và khai thác các lỗ hổng được phát hiện bởi nhóm nghiên cứu mà không cần phải root thiết bị.

Dưới đây là danh sách các lỗ hổng bảo mật trong các ứng dụng quản lý mật khẩu  phổ biến nhất trên Android được phát hiện bởi TeamSIK:

MyPasswords

  • Có thể đọc dữ liệu riêng tư của My Passwords
  • Giải mã mật khẩu chính của My Passwords
  • Mở khóa miễn phí gói Premium của My Password

1Password – Password Manager

  • Rò rỉ mật khẩu của tên miền phụ trong trình duyệt 1Password Internal
  • Chuyển giao thức bảo mật HTTPS thành mặc định HTTP URL trong trình duyệt 1Password Internal
  • Không mã hóa tiêu đề và URL trong cơ sở dữ liệu của 1Password
  • Đọc dữ liệu riêng tư từ App Folder trong 1Password Manager
  • Tiết lộ thông tin riêng tư tới nhà cung cấp 1Password Manager

LastPass Password Manager

  • Khóa chủ bị hardcoded trong LastPass Password Manager
  • Rò rỉ dữ liệu riêng tư trong trình tìm kiếm của LastPass
  • Đọc dữ liệu riêng tư (gồm mật khẩu chủ được lưu trữ) trong LastPass Password Manager

Informaticore Password Manager

  • Vùng lưu trữ thông tin không an toàn trong Microsoft Password Manager

Keeper Password Manager

  • Bỏ qua câu hỏi bảo mật của Keeper Password Manager
  • Lấy thông tin mà không cần mật khẩu chủ của Keeper Password Manager

Dashlane Password Manager

  • Đọc dữ liệu riêng tư Từ App Folder trong Dashlane Password Manager
  • Rò rỉ thông tin tìm kiếm từ Google trong trình duyệt Dashlane Password Manager
  • Lấy mật khẩu chính từ Dashlane Password Manager
  • Rò rỉ mật khẩu của tên miền phụ trong trình duyệt Internal Dashlane Password Manager

F-Secure KEY Password Manager

  • Thông tin lưu trữ trong F-Secure KEY Password Manager không an toàn.

Hide Pictures Keepsafe Vault

  • Keepsafe lưu trữ mật khẩu dưới dạng văn bản.

Avast Passwords

  • Mật khẩu các ứng dụng bị lấy từ Avast Password Manager
  • URL mặc định không an toàn cho các trang web phổ biến trong Avast Password Manager
  • Giao thức liên lạc bảo mật không hoạt động tốtt trong Avast Password Manager

Để biết thêm chi tiết về từng lỗ hổng, người dùng có thể truy cập vào báo cáo của TeamSIK tại đây.

Hiện các nhà cung cấp ứng dụng đã giải quyết tất cả những vấn đề nêu trên, nên người dùng được khuyến cáo nên cập nhật các ứng dụng quản lý mật khẩu của họ càng sớm càng tốt, bởi vì bây giờ các hacker đã có tất cả các thông tin cần thiết để khai thác lổ hỏng từ các phiên bản cũ hơn của các ứng dụng quản lý mật khẩu.

Theo The Hacker News.

Góc quảng cáo