9 ứng dụng quản lý mật khẩu phổ biến rò rỉ thông tin người dùng

16:47 | 23/03/2017 | LỖ HỔNG ATTT

Nhóm bảo mật TeamSIK của Đức đã đưa ra bản báo cáo về các lổ hổng bảo mật trong các ứng dụng quản lý mật khẩu thông dụng trên Android.

9 ứng dụng quản lý mật khẩu phổ biến rò rỉ thông tin người dùng

Việc sử dụng các mật khẩu phức tạp và riêng biệt cho từng tài khoản trực tuyến là một kỹ năng được khuyến cáo trong việc phòng tránh các nguy cơ mất an toàn thông tin đối với người dùng. Tuy nhiên, điều này lại trở thành một “thử thách”. Việc sử dụng các ứng dụng quản lý mật khẩu khiến người dùng sử dụng các dịch vụ trực tuyến dễ dàng và an toàn hơn.

Với khả năng tạo các chuỗi ký tự mật khẩu phức tạp, lưu trữ và sắp xếp mật khẩu một cách khoa học, người dùng dễ dàng sử dụng mật khẩu đăng nhập bất kỳ tài khoản nào mà chỉ cần nhớ một mật khẩu duy nhất – mật khẩu của ứng dụng. Nhưng điều gì sẽ xảy ra nếu chính ứng dụng này chứa nhiều lỗ hổng bảo mật?

Theo một báo cáo mới từ nhóm chuyên gia bảo mật TeamSIK của Tổ chức công nghệ bảo mật thông tin Franhofer tại Đức, 9 ứng dụng quản lý mật khẩu phổ biến với người dùng trên Google Play đã phát hiện chứa rất nhiều lỗ hổng bảo mật.

Nhóm chuyên gia đã thử nghiệm trên các ứng dụng: LastPass, Keeper, 1Password, My Passwords, Dashlane Password Manager, Password Manager Informaticore, F-Secure KEY, Keepsafe và Avast Passwords – mỗi ứng dụng đều có số lượt tải về từ 100.000 đến 50 triệu lượt.

“Kết quả tổng thể rất đáng lo ngại và tiết lộ rằng các ứng dụng quản lý mật khẩu không cung cấp đủ các cơ chế bảo vệ cho những mật khẩu và thông tin được lưu trữ như những gì mà các nhà sản xuất ứng dụng đã hứa hẹn” - TeamSIK chia sẻ.

Các nhà nghiên cứu phát hiện tồn tại 26 lỗ hổng trên 9 phần mềm được phân tích. Các lỗ hổng bảo mật này có khả năng rò rỉ nhiều thông tin quan trọng của người dùng như mật khẩu, thông tin đăng nhập, thông tin riêng tư, thậm chí là các thông tin thanh toán như tài khoản ngân hàng, số thẻ tín dụng… Chưa kể trong các lỗ hổng này còn tồn tại lỗi tự động chuyển giao thức bảo mật HTTPS xuống HTTP, làm giảm tính bảo mật của web khi truy cập và thậm chí có thể dẫn vào các trang web giả mạo, lừa đảo người dùng.

Theo nhóm nghiên cứu, một số ứng dụng quản lý mật khẩu dễ dàng bị tấn công thông qua những dữ liệu thừa và clipboard. Một số khác thì lưu trữ các mật khẩu chủ dưới dạng văn bản, thậm chí để lộ ra khóa mã hóa dưới dạng code. Bên cạnh những vấn đề này, nhóm nghiên cứu cũng phát hiện ra rằng chức năng auto-fill (tự động điền thông tin) trong các ứng dụng quản lý mật khẩu có thể bị lợi dụng để ăn cắp các thông tin riêng tư thông qua các cuộc tấn công giả mạo.

Đáng lo ngại hơn, kẻ tấn công có thể dễ dàng lợi dụng và khai thác các lỗ hổng được phát hiện bởi nhóm nghiên cứu mà không cần phải root thiết bị.

Dưới đây là danh sách các lỗ hổng bảo mật trong các ứng dụng quản lý mật khẩu phổ biến trên Android được phát hiện bởi TeamSIK:

MyPasswords

- Có thể đọc dữ liệu riêng tư của My Passwords;

- Giải mã mật khẩu chính của My Passwords;

- Mở khóa miễn phí gói Premium của My Password.

1Password – Password Manager

- Rò rỉ mật khẩu của tên miền phụ trong trình duyệt 1Password Internal;

- Chuyển giao thức bảo mật HTTPS thành mặc định HTTP trong trình duyệt 1Password Internal;

- Không mã hóa tiêu đề và URL trong cơ sở dữ liệu của 1Password;

- Đọc dữ liệu riêng tư từ App Folder trong 1Password Manager;

- Tiết lộ thông tin riêng tư tới nhà cung cấp 1Password Manager.

LastPass Password Manager

- Khóa chủ bị hardcoded trong LastPass Password Manager;

- Rò rỉ dữ liệu riêng tư trong trình tìm kiếm của LastPass;

- Đọc dữ liệu riêng tư (gồm mật khẩu chủ được lưu trữ) trong LastPass Password Manager.

Informaticore Password Manager

- Vùng lưu trữ thông tin không an toàn trong Microsoft Password Manager.

Keeper Password Manager

- Bỏ qua câu hỏi bảo mật của Keeper Password Manager;

- Lấy thông tin mà không cần mật khẩu chủ của Keeper Password Manager.

Dashlane Password Manager

- Đọc dữ liệu riêng tư từ App Folder trong Dashlane Password Manager;

- Rò rỉ thông tin tìm kiếm từ Google trong trình duyệt Dashlane Password Manager;

- Lấy mật khẩu chính từ Dashlane Password Manager;

- Rò rỉ mật khẩu của tên miền phụ trong trình duyệt Internal Dashlane Password Manager.

F-Secure KEY Password Manager

- Thông tin lưu trữ trong F-Secure KEY Password Manager không an toàn.

Hide Pictures Keepsafe Vault

- Lưu trữ mật khẩu dưới dạng văn bản.

Avast Passwords

- Mật khẩu các ứng dụng truy xuất được từ Avast Password Manager;

- URL mặc định không an toàn cho các trang web phổ biến trong Avast Password Manager;

- Giao thức bảo mật không hoạt động ổn định trong Avast Password Manager.

Hiện các nhà phát triển ứng dụng đã giải quyết tất cả những vấn đề nêu trên. Người dùng cần cập nhật các ứng dụng quản lý mật khẩu của họ càng sớm càng tốt.

‹ › ×

Tin liên quan

Các ứng dụng quản lý mật khẩu trên Android có thể bị đánh lừa

09:00 | 11/10/2018

Các nhà nghiên cứu vừa phát hiện ra một loạt các ứng dụng quản lý mật khẩu hàng đầu trên Android có thể bị lừa nhập tên người dùng và mật khẩu vào các ứng dụng lừa đảo.

Các ứng dụng quản lý mật khẩu trên Android có thể bị đánh lừa

09:00 | 19/11/2018

Trình quản lý mật khẩu LastPass bị báo cáo là theo dõi người dùng

08:00 | 05/03/2021

Mặc dù trình theo dõi trong ứng dụng Android của LastPass không thu thập bất kỳ dữ liệu cá nhân nào, nhưng trình quản lý mật khẩu phổ biến LastPass đang bị báo cáo là thu thập dữ liệu người dùng qua trình theo dõi quảng cáo và phân tích. Vấn đề này không chỉ ảnh hưởng đến người dùng trên Android mà cả người dùng iPhone.

Mật khẩu Windows 8 ký tự có thể bị phá trong 2,5 giờ

17:00 | 15/03/2019

Mới đây, một hacker với bút danh Tinker chia sẻ trên Twitter rằng, với 8 GPU Nvidia GTX 2080Ti được trưng dụng trong một cuộc tấn công ngoại tuyến thì "Tốc độ bẻ khóa mật khẩu hiện tại cho thấy một thực tế rằng, một mật khẩu tối thiểu tám ký tự, dù phức tạp tới đâu đi nữa, cũng có thể bị tìm ra trong chưa đầy 2,5 giờ"

Tin cùng chuyên mục

Tin tặc Mustang Panda nhắm mục tiêu vào các quốc gia châu Á với biến thể mới của PlugX

09:00 | 06/03/2024

Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.

Dự đoán phần mềm tội phạm và các mối đe dọa tài chính vào năm 2024

09:00 | 28/02/2024

Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.

Giải mã biến thể mới của phần mềm độc hại Bandook

09:00 | 29/01/2024

Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.

Google Chrome phát hành bản vá để khắc phục lỗ hổng zero-day

15:00 | 19/01/2024

Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.

Tin được quan tâm

Bảo đảm an ninh thông tin cơ sở hạ tầng quan trọng của Hoa Kỳ

08:00 | 11/01/2024 | Chính sách - Chiến lược
Giải pháp phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc (Phần I)

09:00 | 10/01/2024 | Giải pháp khác

Giải pháp tăng cường an ninh mạng ở Italia

09:00 | 05/01/2024|Chính sách - Chiến lược
Cạnh tranh Mỹ - Trung về cáp quang biển toàn cầu (phần 1)

09:00 | 05/01/2024|An ninh – Quốc Phòng

CISA cung cấp dịch vụ an ninh mạng cho các tổ chức trọng yếu không thuộc Chính quyền

09:00 | 21/12/2023|CA Công cộng
5 lưu ý giúp tăng cường bảo mật công nghệ vận hành cho các doanh nghiệp sản xuất

14:00 | 14/08/2023|Giải pháp khác

Hacker / Malware

Phân tích phần mềm độc hại DinodasRAT trên Linux

DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.

19:00 | 30/04/2024
Phân tích kỹ thuật lừa đảo mới nhằm phát tán phần mềm độc hại trên GitHub
Vén màn chiến dịch gián điệp mạng LightSpy
Bắt giữ 37 nghi phạm trong đường dây dịch vụ lừa đảo trực tuyến