Lista najgorszych haseł 2023 roku budzi uśmiech politowania. Niestety, w dalszym ciągu internauci stanowczo zbyt często ustalają powtarzalne, łatwe do złamania, a nawet zgadnięcia (!) hasła. Prawidłowe nawyki pomagają wyrobić menedżery haseł. Absolutnie nikt nie jest w stanie spamiętać wszystkich skomplikowanych i unikalnych haseł, jakie powinno się ustalać w ramach każdej z usług – to właśnie tutaj przydają się te aplikacje. Czy gwarantują 100-procentowe bezpieczeństwo danych? Nie, o czym boleśnie mogą przekonać się osoby korzystające z każdego z sześciu najpopularniejszych menedżerów haseł na Androida, które nie mają w nawyku aktualizowania oprogramowania.
Sześć popularnych menedżerów haseł na Androida „wycieka” dane
Kilka najchętniej używanych menedżerów haseł na smartfony i tablety z systemem Android wycieka dane uwierzytelniające. Mowa o apkach 1Password, LastPass, Enpass, Keeper i Keepass2Android. Podatność o nazwie AutoSpill została wykryta przez zespół badaczy z Międzynarodowego Instytutu Technologii Informacyjnych w Hyderabadzie podczas zeszłotygodniowej konferencji Black Hat Europe 2023. Luka dotyczy zabezpieczeń funkcji autouzupełniania aplikacji na Androida.
Luka staje się niebezpieczna, gdy Android wywołuje stronę logowania za pośrednictwem komponentu WebView. W takiej sytuacji WebView umożliwia aplikacjom wyświetlanie danych dla danej strony internetowej. Dane uwierzytelniające udostępnione WebView mogą zostać udostępnione aplikacji, która wymagała podania nazwy użytkownika i hasła. Jeśli aplikacja jest zaufana, nie ma powodów do obaw. Gorzej jeśli nie jest.
Jeżeli dane uwierzytelniające zostały udostępnione za pomocą metody „wstrzykiwania” kodu JavaScript, luka dotyczy również menedżerów DashLane i Google Smart Lock. Ten drugi stosowany jest w Google Chrome.
Według Roba Blackweldera z Enpass, podatność załatano w wersji Enpass 6.8.3 z 29 września 2022 roku. Firma 1Password dopiero teraz pracuje nad rozwiązaniem tej luki. Reszta? Tego nie wiadomo.
Na pocieszenie: testy luk prowadzono na smartfonach Poco F1 i Samsung Galaxy A52 oraz tablecie Samsung Galaxy Tab S6 Lite z nieaktualnym softem. Działały pod kontrolą odpowiednio Androida 10, Androida 12 i Androida 11. Wszystkie miały nieaktualne poprawki bezpieczeństwa. Nie wiadomo zatem, czy zagrożeni są użytkownicy urządzeń z nowszym oprogramowaniem i nowszymi poprawkami.
Jedno jest pewne: szalenie ważnym jest aktualizowanie zainstalowanych aplikacji do najnowszych wydań właśnie za sprawą takich luk. Należy także regularnie instalować poprawki bezpieczeństwa systemu Android.
Źródło: s3.documentcloud.org, zdj. tyt. Canva Pro