9 ứng dụng quản lý mật khẩu phổ biến rò rỉ thông tin người dùng

16:47 | 23/03/2017 | LỖ HỔNG ATTT

Nhóm bảo mật TeamSIK của Đức đã đưa ra bản báo cáo về các lổ hổng bảo mật trong các ứng dụng quản lý mật khẩu thông dụng trên Android.

9 ứng dụng quản lý mật khẩu phổ biến rò rỉ thông tin người dùng

Việc sử dụng các mật khẩu phức tạp và riêng biệt cho từng tài khoản trực tuyến là một kỹ năng được khuyến cáo trong việc phòng tránh các nguy cơ mất an toàn thông tin đối với người dùng. Tuy nhiên, điều này lại trở thành một “thử thách”. Việc sử dụng các ứng dụng quản lý mật khẩu khiến người dùng sử dụng các dịch vụ trực tuyến dễ dàng và an toàn hơn.

Với khả năng tạo các chuỗi ký tự mật khẩu phức tạp, lưu trữ và sắp xếp mật khẩu một cách khoa học, người dùng dễ dàng sử dụng mật khẩu đăng nhập bất kỳ tài khoản nào mà chỉ cần nhớ một mật khẩu duy nhất – mật khẩu của ứng dụng. Nhưng điều gì sẽ xảy ra nếu chính ứng dụng này chứa nhiều lỗ hổng bảo mật?

Theo một báo cáo mới từ nhóm chuyên gia bảo mật TeamSIK của Tổ chức công nghệ bảo mật thông tin Franhofer tại Đức, 9 ứng dụng quản lý mật khẩu phổ biến với người dùng trên Google Play đã phát hiện chứa rất nhiều lỗ hổng bảo mật.

Nhóm chuyên gia đã thử nghiệm trên các ứng dụng: LastPass, Keeper, 1Password, My Passwords, Dashlane Password Manager, Password Manager Informaticore, F-Secure KEY, Keepsafe và Avast Passwords – mỗi ứng dụng đều có số lượt tải về từ 100.000 đến 50 triệu lượt.

“Kết quả tổng thể rất đáng lo ngại và tiết lộ rằng các ứng dụng quản lý mật khẩu không cung cấp đủ các cơ chế bảo vệ cho những mật khẩu và thông tin được lưu trữ như những gì mà các nhà sản xuất ứng dụng đã hứa hẹn” - TeamSIK chia sẻ.

Các nhà nghiên cứu phát hiện tồn tại 26 lỗ hổng trên 9 phần mềm được phân tích. Các lỗ hổng bảo mật này có khả năng rò rỉ nhiều thông tin quan trọng của người dùng như mật khẩu, thông tin đăng nhập, thông tin riêng tư, thậm chí là các thông tin thanh toán như tài khoản ngân hàng, số thẻ tín dụng… Chưa kể trong các lỗ hổng này còn tồn tại lỗi tự động chuyển giao thức bảo mật HTTPS xuống HTTP, làm giảm tính bảo mật của web khi truy cập và thậm chí có thể dẫn vào các trang web giả mạo, lừa đảo người dùng.

Theo nhóm nghiên cứu, một số ứng dụng quản lý mật khẩu dễ dàng bị tấn công thông qua những dữ liệu thừa và clipboard. Một số khác thì lưu trữ các mật khẩu chủ dưới dạng văn bản, thậm chí để lộ ra khóa mã hóa dưới dạng code. Bên cạnh những vấn đề này, nhóm nghiên cứu cũng phát hiện ra rằng chức năng auto-fill (tự động điền thông tin) trong các ứng dụng quản lý mật khẩu có thể bị lợi dụng để ăn cắp các thông tin riêng tư thông qua các cuộc tấn công giả mạo.

Đáng lo ngại hơn, kẻ tấn công có thể dễ dàng lợi dụng và khai thác các lỗ hổng được phát hiện bởi nhóm nghiên cứu mà không cần phải root thiết bị.

Dưới đây là danh sách các lỗ hổng bảo mật trong các ứng dụng quản lý mật khẩu phổ biến trên Android được phát hiện bởi TeamSIK:

MyPasswords

- Có thể đọc dữ liệu riêng tư của My Passwords;

- Giải mã mật khẩu chính của My Passwords;

- Mở khóa miễn phí gói Premium của My Password.

1Password – Password Manager

- Rò rỉ mật khẩu của tên miền phụ trong trình duyệt 1Password Internal;

- Chuyển giao thức bảo mật HTTPS thành mặc định HTTP trong trình duyệt 1Password Internal;

- Không mã hóa tiêu đề và URL trong cơ sở dữ liệu của 1Password;

- Đọc dữ liệu riêng tư từ App Folder trong 1Password Manager;

- Tiết lộ thông tin riêng tư tới nhà cung cấp 1Password Manager.

LastPass Password Manager

- Khóa chủ bị hardcoded trong LastPass Password Manager;

- Rò rỉ dữ liệu riêng tư trong trình tìm kiếm của LastPass;

- Đọc dữ liệu riêng tư (gồm mật khẩu chủ được lưu trữ) trong LastPass Password Manager.

Informaticore Password Manager

- Vùng lưu trữ thông tin không an toàn trong Microsoft Password Manager.

Keeper Password Manager

- Bỏ qua câu hỏi bảo mật của Keeper Password Manager;

- Lấy thông tin mà không cần mật khẩu chủ của Keeper Password Manager.

Dashlane Password Manager

- Đọc dữ liệu riêng tư từ App Folder trong Dashlane Password Manager;

- Rò rỉ thông tin tìm kiếm từ Google trong trình duyệt Dashlane Password Manager;

- Lấy mật khẩu chính từ Dashlane Password Manager;

- Rò rỉ mật khẩu của tên miền phụ trong trình duyệt Internal Dashlane Password Manager.

F-Secure KEY Password Manager

- Thông tin lưu trữ trong F-Secure KEY Password Manager không an toàn.

Hide Pictures Keepsafe Vault

- Lưu trữ mật khẩu dưới dạng văn bản.

Avast Passwords

- Mật khẩu các ứng dụng truy xuất được từ Avast Password Manager;

- URL mặc định không an toàn cho các trang web phổ biến trong Avast Password Manager;

- Giao thức bảo mật không hoạt động ổn định trong Avast Password Manager.

Hiện các nhà phát triển ứng dụng đã giải quyết tất cả những vấn đề nêu trên. Người dùng cần cập nhật các ứng dụng quản lý mật khẩu của họ càng sớm càng tốt.

‹ › ×

Tin liên quan

Các ứng dụng quản lý mật khẩu trên Android có thể bị đánh lừa

09:00 | 11/10/2018

Các nhà nghiên cứu vừa phát hiện ra một loạt các ứng dụng quản lý mật khẩu hàng đầu trên Android có thể bị lừa nhập tên người dùng và mật khẩu vào các ứng dụng lừa đảo.

Các ứng dụng quản lý mật khẩu trên Android có thể bị đánh lừa

09:00 | 19/11/2018

Trình quản lý mật khẩu LastPass bị báo cáo là theo dõi người dùng

08:00 | 05/03/2021

Mặc dù trình theo dõi trong ứng dụng Android của LastPass không thu thập bất kỳ dữ liệu cá nhân nào, nhưng trình quản lý mật khẩu phổ biến LastPass đang bị báo cáo là thu thập dữ liệu người dùng qua trình theo dõi quảng cáo và phân tích. Vấn đề này không chỉ ảnh hưởng đến người dùng trên Android mà cả người dùng iPhone.

Mật khẩu Windows 8 ký tự có thể bị phá trong 2,5 giờ

17:00 | 15/03/2019

Mới đây, một hacker với bút danh Tinker chia sẻ trên Twitter rằng, với 8 GPU Nvidia GTX 2080Ti được trưng dụng trong một cuộc tấn công ngoại tuyến thì "Tốc độ bẻ khóa mật khẩu hiện tại cho thấy một thực tế rằng, một mật khẩu tối thiểu tám ký tự, dù phức tạp tới đâu đi nữa, cũng có thể bị tìm ra trong chưa đầy 2,5 giờ"

Tin cùng chuyên mục

Nhóm tin tặc Lazarus nhắm mục tiêu vào ví tiền điện tử bằng việc sử dụng trình đánh cắp Javascript

10:00 | 13/02/2025

Các nhà nghiên cứu của công ty phần mềm an ninh mạng và diệt virus Bitdefender (Romania) đã tìm hiểu về nhóm tin tặc Lazarus có liên quan đến Triều Tiên, hiện đang sử dụng một hình thức tấn công mới thông qua các lời mời làm việc giả mạo trên LinkedIn trong lĩnh vực tiền điện tử và du lịch để phát tán phần mềm đánh cắp JavaScript đa nền tảng nhắm vào các ví tiền điện tử.

Tin tặc đã đánh cắp 994TB dữ liệu người dùng trong năm 2024

12:00 | 14/01/2025

Trong thời đại kỹ thuật số, dữ liệu và thông tin cá nhân được xem như nguồn tài nguyên vô cùng quan trọng, đó là lý do tin tặc luôn tìm cách đánh cắp dữ liệu người dùng. Theo một báo cáo của công ty an ninh mạng CloudSEK (Ấn Độ), tin tặc đã đánh cắp lượng dữ liệu người dùng khổng lồ trong năm 2024.

Gia tăng các vụ tấn công mạng nhằm vào trò chơi điện tử dành cho trẻ em

15:00 | 24/12/2024

Theo thông tin do đội ngũ chuyên gia của Kaspersky chia sẻ, trong nửa đầu năm 2024, số lượng người dùng bị tội phạm mạng nhắm đến, sử dụng mồi nhử là các trò chơi phổ biến dành cho trẻ em đã tăng 30% so với nửa cuối năm 2023. Sau khi phân tích rủi ro tiềm ẩn đến từ các đối tượng trẻ em có sở thích chơi trò chơi điện tử, các nhà nghiên cứu phát hiện hơn 132.000 trường hợp đã trở thành mục tiêu của tội phạm mạng. Bài viết dưới đây sẽ thông tin tới độc giả các nội dung trong báo cáo mới nhất của Kaspersky về thực trạng tội phạm mạng nêu trên.

Cảnh báo phần mềm độc hại DroidBot Android mới nhắm vào 77 ứng dụng ngân hàng và tiền điện tử

16:00 | 18/12/2024

Các nhà nghiên cứu của hãng bảo mật Cleafy (Ý) đã đưa ra cảnh báo về một loại phần mềm độc hại ngân hàng Android mới có tên là DroidBot, hiện đang nhắm mục tiêu để đánh cắp thông tin đăng nhập của hơn 77 sàn giao dịch tiền điện tử và ứng dụng ngân hàng tại Vương quốc Anh, Ý, Pháp, Tây Ban Nha và Bồ Đào Nha.