एंड्रॉइड के लिए नौ पासवर्ड प्रबंधकों में पाया गया सुरक्षा मुद्दे (LastPass, Dashlane ..)

• श्रेणी: सुरक्षा

समस्याओं को खत्म करने के लिए हमारे साधन का प्रयास करें

ऑपरेटिंग सिस्टम का चयन करें Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro प्रक्षेपण का एक कार्यक्रम चुनें (वैकल्पिक रूप से) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

अपनी समस्या का वर्णन करें

उत्तर पाएं

मुझे ईमेल द्वारा भेजें साइट पर दिखाओ

फ्राउनहोफर इंस्टीट्यूट के सुरक्षा शोधकर्ताओं ने एंड्रॉइड के लिए नौ पासवर्ड प्रबंधकों में गंभीर सुरक्षा मुद्दों को पाया कि उन्होंने अपने शोध के हिस्से के रूप में विश्लेषण किया।

जब यह प्रमाणीकरण जानकारी संग्रहीत करने की बात आती है तो पासवर्ड प्रबंधक एक लोकप्रिय विकल्प होता है। सभी सुरक्षित रूप से या तो स्थानीय या दूरस्थ रूप से भंडारण का वादा करते हैं, और कुछ मिश्रण में अन्य सुविधाओं को जोड़ सकते हैं जैसे पासवर्ड जनरेशन, स्वचालित साइन इन, या क्रेडिट कार्ड नंबर या पिन जैसे महत्वपूर्ण डेटा की बचत।

फ्राउनहोफर इंस्टीट्यूट के एक हालिया अध्ययन में सुरक्षा के दृष्टिकोण से Google के एंड्रॉइड ऑपरेटिंग सिस्टम के लिए नौ पासवर्ड मैनेजर देखे गए। शोधकर्ताओं ने निम्नलिखित पासवर्ड प्रबंधकों का विश्लेषण किया: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, Keeper, और Avast Passwords।

कुछ ऐप में 50 मिलियन से अधिक इंस्टॉलेशन हैं, और सभी में कम से कम 100,000 इंस्टॉलेशन हैं।

एंड्रॉइड सुरक्षा विश्लेषण पर पासवर्ड प्रबंधक

टीम के निष्कर्ष में किसी को भी चिंतित होना चाहिए जो एंड्रॉइड पर पासवर्ड प्रबंधक को लागू करता है। हालांकि यह स्पष्ट नहीं है कि एंड्रॉइड के लिए अन्य पासवर्ड मैनेजर एप्लिकेशन में कमजोरियां हैं या नहीं, कम से कम एक मौका है कि यह वास्तव में मामला है।

समग्र परिणाम बेहद चिंताजनक थे और यह पता चला कि पासवर्ड प्रबंधक एप्लिकेशन, उनके दावों के बावजूद, संग्रहीत पासवर्ड और क्रेडेंशियल्स के लिए पर्याप्त सुरक्षा तंत्र प्रदान नहीं करते हैं। इसके बजाय, वे उपयोगकर्ताओं के विश्वास का दुरुपयोग करते हैं और उन्हें उच्च जोखिमों में उजागर करते हैं।

शोधकर्ताओं द्वारा विश्लेषण किए गए प्रत्येक ऐप में कम से कम एक सुरक्षा भेद्यता की पहचान की गई थी। जहां तक ​​कुछ एप्लिकेशन सादे पाठ में मास्टर कुंजी और कोड में हार्ड-कोडेड क्रिप्टोग्राफ़िक कुंजियों का उपयोग करने वाले अन्य लोगों के रूप में चले गए। एक अन्य मामले में, एक सरल सहायक एप्लिकेशन की स्थापना ने पासवर्ड एप्लिकेशन द्वारा संग्रहीत पासवर्ड निकाले।

लास्टपास में अकेले तीन कमजोरियों की पहचान की गई थी। पहले एक हार्ड-कोडेड मास्टर कुंजी, फिर डेटा ब्राउज़र खोज में लीक, और अंत में एंड्रॉइड 4.0.x और उससे कम पर LastPass को प्रभावित करने वाली एक भेद्यता जो हमलावरों को संग्रहीत मास्टर पासवर्ड चोरी करने की अनुमति देती है।

• SIK-2016-022: लास्टपास पासवर्ड मैनेजर में हार्डकोड मास्टर की
• SIK-2016-023: प्राइवेसी, लास्टपास ब्राउजर सर्च में डाटा का रिसाव
• SIK-2016-024: LastPass पासवर्ड मैनेजर से निजी तिथि (संग्रहित मास्टरपास) पढ़ें

डैशलेन में चार कमजोरियों की पहचान की गई थी, एक और लोकप्रिय पासवर्ड मैनेजर एप्लीकेशन। इन भेद्यताओं ने हमलावरों को ऐप फ़ोल्डर से निजी डेटा पढ़ने, सूचना लीक का दुरुपयोग करने और मास्टर पासवर्ड निकालने के लिए हमला चलाने की अनुमति दी।

• SIK-2016-028: डैशलेन पासवर्ड मैनेजर में ऐप फ़ोल्डर से निजी डेटा पढ़ें
• SIK-2016-029: डैशलेन पासवर्ड मैनेजर ब्राउज़र में Google खोज सूचना रिसाव
• SIK-2016-030: डेशलेन पासवर्ड मैनेजर से अवशेष हमला निकालने वाला मास्टरगार्ड
• SIK-2016-031: आंतरिक डैशलेन पासवर्ड मैनेजर ब्राउज़र में उपडोमेन पासवर्ड रिसाव

लोकप्रिय 1Password एप्लीकेशन चार एंड्रॉइड में पांच कमजोरियां थीं जिनमें निजीकरण मुद्दे और पासवर्ड लीक होना शामिल था।

• SIK-2016-038: 1Password आंतरिक ब्राउज़र में उपडोमेन पासवर्ड रिसाव
• SIK-2016-039: 1Password आंतरिक ब्राउज़र में डिफ़ॉल्ट रूप से http URL पर डाउनग्रेड होता है
• SIK-2016-040: टाइटल और URL 1Password डेटाबेस में एनक्रिप्टेड नहीं हैं
• SIK-2016-041: 1Password Manager में ऐप फ़ोल्डर से निजी डेटा पढ़ें
• SIK-2016-042: गोपनीयता समस्या, सूचना वेंडर 1Password Manager को लीक

आप बाहर की जाँच कर सकते हैं ऐप्स की पूरी सूची विश्लेषण और Fraunhofer संस्थान की वेबसाइट पर कमजोरियों।

ध्यान दें : सभी प्रकट भेद्यताएँ उन कंपनियों द्वारा तय की गई हैं जो अनुप्रयोगों का विकास करती हैं। कुछ सुधार अभी भी विकास में हैं। यह अनुशंसा की जाती है कि आप एप्लिकेशन को जल्द से जल्द अपडेट करें यदि आप उन्हें अपने मोबाइल उपकरणों पर चलाते हैं।

शोध टीम का निष्कर्ष काफी विनाशकारी है:

हालांकि यह दर्शाता है कि पासवर्ड मैनेजर के सबसे बुनियादी कार्य भी अक्सर असुरक्षित होते हैं, ये ऐप अतिरिक्त सुविधाएं भी प्रदान करते हैं, जो सुरक्षा को फिर से प्रभावित कर सकते हैं। हमने पाया है कि, उदाहरण के लिए, 'छिपे हुए फ़िशिंग' हमलों का उपयोग करके पासवर्ड प्रबंधक एप्लिकेशन से संग्रहीत रहस्यों को चुराने के लिए अनुप्रयोगों के लिए ऑटो-फिल फ़ंक्शन का दुरुपयोग किया जा सकता है। वेब पेजों में ऑटो-फिलिंग पासवर्ड फ़ॉर्म के बेहतर समर्थन के लिए, कुछ एप्लिकेशन अपने स्वयं के वेब ब्राउज़र प्रदान करते हैं। ये ब्राउज़र निजता का एक अतिरिक्त स्रोत हैं, जैसे गोपनीयता रिसाव।

अब तुम : क्या आप पासवर्ड मैनेजर एप्लिकेशन का उपयोग करते हैं? (के जरिए हैकर समाचार )