Les chercheurs en sécurité de l'institut Fraunhofer ont découvert de graves problèmes de sécurité dans neuf gestionnaires de mots de passe pour Android qu'ils ont analysés dans le cadre de leurs recherches.
Les gestionnaires de mots de passe sont une option populaire lorsqu'il s'agit de stocker des informations d'authentification. Tous promettent un stockage sécurisé localement ou à distance, et certains peuvent ajouter d’autres fonctionnalités telles que la génération de mot de passe, la connexion automatique ou la sauvegarde de données importantes telles que les numéros de carte de crédit ou les punaises.
Une étude récente de l'Institut Fraunhofer a examiné neuf gestionnaires de mots de passe pour le système d'exploitation Android de Google du point de vue de la sécurité. Les chercheurs ont analysé les gestionnaires de mots de passe suivants: LastPass, 1Password, Mes mots de passe, Dashlane Password Manager, Password Manager d’Informaticore, F-Secure KEY, Keepsafe, Keeper et Avast.
Certaines des applications ont plus de 50 millions d'installations et au moins 100 000 installations.
Gestionnaires de mots de passe sur l'analyse de sécurité Android
La conclusion de l'équipe devrait inquiéter quiconque implémente un gestionnaire de mot de passe sous Android. Bien qu'il soit difficile de savoir si d'autres applications de gestion de mots de passe pour Android comportent également des vulnérabilités, il existe au moins une chance pour que ce soit effectivement le cas.
Les résultats globaux étaient extrêmement préoccupants et ont révélé que les applications de gestion de mots de passe, malgré leurs revendications, ne fournissaient pas suffisamment de mécanismes de protection pour les mots de passe et les informations d'identification stockés. Au lieu de cela, ils abusent de la confiance des utilisateurs et les exposent à des risques élevés.
Au moins une vulnérabilité de sécurité a été identifiée dans chacune des applications analysées par les chercheurs. Cela allait jusqu'à certaines applications stockant la clé principale en texte brut, et d'autres utilisant des clés cryptographiques codées en dur dans le code. Dans un autre cas, l'installation d'une application d'assistance simple a extrait les mots de passe stockés par l'application de mot de passe.
Trois vulnérabilités ont été identifiées dans LastPass uniquement. Tout d'abord, une clé principale codée en dur, puis des fuites de données dans la recherche par navigateur, et enfin une vulnérabilité affectant LastPass sur Android 4.0.x et versions antérieures, qui permet aux attaquants de voler le mot de passe principal stocké.
- SIK-2016-022: Clé principale codée en dur dans LastPass Password Manager
- SIK-2016-023: Confidentialité, fuite de données dans la recherche du navigateur LastPass
- SIK-2016-024: Date de lecture privée (mot de passe maître stocké) à partir de LastPass Password Manager
Quatre vulnérabilités ont été identifiées dans Dashlane, une autre application populaire de gestionnaire de mots de passe. Ces vulnérabilités ont permis aux attaquants de lire des données privées à partir du dossier de l'application, d'abuser des fuites d'informations et de lancer une attaque pour extraire le mot de passe principal.
- SIK-2016-028: Lecture de données privées dans un dossier d'applications dans Dashlane Password Manager
- SIK-2016-029: Fuite d'informations dans les recherches Google dans le navigateur Dashlane Password Manager
- SIK-2016-030: Attaque des résidus lors de l'extraction du mot de passe principal dans Dashlane Password Manager
- SIK-2016-031: Fuite de mot de passe de sous-domaine dans le navigateur Dashlane Password Manager interne
La populaire application 1Password quatre Android comportait cinq vulnérabilités, notamment des problèmes de confidentialité et la fuite de mots de passe.
- SIK-2016-038: Fuite de mot de passe de sous-domaine dans le navigateur interne 1Password
- SIK-2016-039: Https rétrograde à l'URL http par défaut dans le navigateur interne 1Password
- SIK-2016-040: Titres et URL non chiffrés dans la base de données 1Password
- SIK-2016-041: Lecture de données privées dans un dossier d'applications dans 1Password Manager
- SIK-2016-042: Problème de confidentialité, fuite d'informations vers le fournisseur 1Password Manager
Vous pouvez consulter la liste complète des applications analysées et les vulnérabilités sur le site Web de l'Institut Fraunhofer.
Remarque : Toutes les vulnérabilités divulguées ont été corrigées par les sociétés qui développent les applications. Certaines corrections sont encore en développement. Il est recommandé de mettre à jour les applications dès que possible si vous les exécutez sur vos appareils mobiles.
La conclusion de l'équipe de recherche est plutôt dévastatrice:
Bien que cela montre que même les fonctions les plus élémentaires d'un gestionnaire de mots de passe sont souvent vulnérables, ces applications offrent également des fonctionnalités supplémentaires, qui peuvent, encore une fois, affecter la sécurité. Nous avons constaté que, par exemple, les fonctions de remplissage automatique d'applications pouvaient être utilisées de manière abusive pour dérober les secrets stockés de l'application de gestion des mots de passe à l'aide d'attaques de «phishing cachées». Pour une meilleure prise en charge de la saisie automatique des mots de passe dans les pages Web, certaines applications fournissent leurs propres navigateurs Web. Ces navigateurs constituent une source supplémentaire de vulnérabilités, telles que les fuites de données confidentielles.
Now You : Utilisez-vous une application de gestion de mot de passe? (via The Hacker News)
