9 ứng dụng quản lý mật khẩu phổ biến rò rỉ thông tin người dùng
16:47 | 23/03/2017 | LỖ HỔNG ATTT
Nhóm bảo mật TeamSIK của Đức đã đưa ra bản báo cáo về các lổ hổng bảo mật trong các ứng dụng quản lý mật khẩu thông dụng trên Android.
Việc sử dụng các mật khẩu phức tạp và riêng biệt cho từng tài khoản trực tuyến là một kỹ năng được khuyến cáo trong việc phòng tránh các nguy cơ mất an toàn thông tin đối với người dùng. Tuy nhiên, điều này lại trở thành một “thử thách”. Việc sử dụng các ứng dụng quản lý mật khẩu khiến người dùng sử dụng các dịch vụ trực tuyến dễ dàng và an toàn hơn.
Với khả năng tạo các chuỗi ký tự mật khẩu phức tạp, lưu trữ và sắp xếp mật khẩu một cách khoa học, người dùng dễ dàng sử dụng mật khẩu đăng nhập bất kỳ tài khoản nào mà chỉ cần nhớ một mật khẩu duy nhất – mật khẩu của ứng dụng. Nhưng điều gì sẽ xảy ra nếu chính ứng dụng này chứa nhiều lỗ hổng bảo mật?
Theo một báo cáo mới từ nhóm chuyên gia bảo mật TeamSIK của Tổ chức công nghệ bảo mật thông tin Franhofer tại Đức, 9 ứng dụng quản lý mật khẩu phổ biến với người dùng trên Google Play đã phát hiện chứa rất nhiều lỗ hổng bảo mật.
Nhóm chuyên gia đã thử nghiệm trên các ứng dụng: LastPass, Keeper, 1Password, My Passwords, Dashlane Password Manager, Password Manager Informaticore, F-Secure KEY, Keepsafe và Avast Passwords – mỗi ứng dụng đều có số lượt tải về từ 100.000 đến 50 triệu lượt.
“Kết quả tổng thể rất đáng lo ngại và tiết lộ rằng các ứng dụng quản lý mật khẩu không cung cấp đủ các cơ chế bảo vệ cho những mật khẩu và thông tin được lưu trữ như những gì mà các nhà sản xuất ứng dụng đã hứa hẹn” - TeamSIK chia sẻ.
Các nhà nghiên cứu phát hiện tồn tại 26 lỗ hổng trên 9 phần mềm được phân tích. Các lỗ hổng bảo mật này có khả năng rò rỉ nhiều thông tin quan trọng của người dùng như mật khẩu, thông tin đăng nhập, thông tin riêng tư, thậm chí là các thông tin thanh toán như tài khoản ngân hàng, số thẻ tín dụng… Chưa kể trong các lỗ hổng này còn tồn tại lỗi tự động chuyển giao thức bảo mật HTTPS xuống HTTP, làm giảm tính bảo mật của web khi truy cập và thậm chí có thể dẫn vào các trang web giả mạo, lừa đảo người dùng.
Theo nhóm nghiên cứu, một số ứng dụng quản lý mật khẩu dễ dàng bị tấn công thông qua những dữ liệu thừa và clipboard. Một số khác thì lưu trữ các mật khẩu chủ dưới dạng văn bản, thậm chí để lộ ra khóa mã hóa dưới dạng code. Bên cạnh những vấn đề này, nhóm nghiên cứu cũng phát hiện ra rằng chức năng auto-fill (tự động điền thông tin) trong các ứng dụng quản lý mật khẩu có thể bị lợi dụng để ăn cắp các thông tin riêng tư thông qua các cuộc tấn công giả mạo.
Đáng lo ngại hơn, kẻ tấn công có thể dễ dàng lợi dụng và khai thác các lỗ hổng được phát hiện bởi nhóm nghiên cứu mà không cần phải root thiết bị.
Dưới đây là danh sách các lỗ hổng bảo mật trong các ứng dụng quản lý mật khẩu phổ biến trên Android được phát hiện bởi TeamSIK:
MyPasswords
- Có thể đọc dữ liệu riêng tư của My Passwords;
- Giải mã mật khẩu chính của My Passwords;
- Mở khóa miễn phí gói Premium của My Password.
1Password – Password Manager
- Rò rỉ mật khẩu của tên miền phụ trong trình duyệt 1Password Internal;
- Chuyển giao thức bảo mật HTTPS thành mặc định HTTP trong trình duyệt 1Password Internal;
- Không mã hóa tiêu đề và URL trong cơ sở dữ liệu của 1Password;
- Đọc dữ liệu riêng tư từ App Folder trong 1Password Manager;
- Tiết lộ thông tin riêng tư tới nhà cung cấp 1Password Manager.
LastPass Password Manager
- Khóa chủ bị hardcoded trong LastPass Password Manager;
- Rò rỉ dữ liệu riêng tư trong trình tìm kiếm của LastPass;
- Đọc dữ liệu riêng tư (gồm mật khẩu chủ được lưu trữ) trong LastPass Password Manager.
Informaticore Password Manager
- Vùng lưu trữ thông tin không an toàn trong Microsoft Password Manager.
Keeper Password Manager
- Bỏ qua câu hỏi bảo mật của Keeper Password Manager;
- Lấy thông tin mà không cần mật khẩu chủ của Keeper Password Manager.
Dashlane Password Manager
- Đọc dữ liệu riêng tư từ App Folder trong Dashlane Password Manager;
- Rò rỉ thông tin tìm kiếm từ Google trong trình duyệt Dashlane Password Manager;
- Lấy mật khẩu chính từ Dashlane Password Manager;
- Rò rỉ mật khẩu của tên miền phụ trong trình duyệt Internal Dashlane Password Manager.
F-Secure KEY Password Manager
- Thông tin lưu trữ trong F-Secure KEY Password Manager không an toàn.
Hide Pictures Keepsafe Vault
- Lưu trữ mật khẩu dưới dạng văn bản.
Avast Passwords
- Mật khẩu các ứng dụng truy xuất được từ Avast Password Manager;
- URL mặc định không an toàn cho các trang web phổ biến trong Avast Password Manager;
- Giao thức bảo mật không hoạt động ổn định trong Avast Password Manager.
Hiện các nhà phát triển ứng dụng đã giải quyết tất cả những vấn đề nêu trên. Người dùng cần cập nhật các ứng dụng quản lý mật khẩu của họ càng sớm càng tốt.
