CNTT - TT

Những ứng dụng quản lý mật khẩu đã từng lộ điểm yếu

(KHCN)- Đảm bảo mật khẩu của bạn được an toàn là một trong những điều phải làm đầu tiên trong việc bảo vệ, tránh cho máy tính, email và thông tin của bạn khỏi hacker. Những ứng dụng quản lý mật khẩu luôn được các chuyên gia bảo mật khuyến khích dùng để có thể dễ quản lý tất cả mật khẩu của bạn tại một nơi duy nhất.


Ứng dụng quản lý mật khẩu là phần mềm tạo ra các mật khẩu phức tạp, lưu trữ và quản lý tất cả các mật khẩu trên máy tính, các trang web, các ứng dụng và hệ thống mạng của bạn, đồng thời ghi nhớ chúng  thay cho bạn.

Nhưng điều gì sẽ xảy ra nếu chính ứng dụng quản lý mật khẩu của bạn lại  bị tổn thương?

Theo như một báo cáo mới đây đã tiết lộ rằng một vài ứng dụng quản lý mật khẩu phổ biến nhất có những lổ hổng bảo mật nghiêm trọng có thể làm lộ thông tin của người dùng.

Báo cáo được công bố bởi nhóm chuyên gia bảo mật TeamSIK của Viện Fraunhofer về Công nghệ Thông tin Bảo mật ở Đức (https://team-sik.org/trent_portfolio/password-manager-apps), tiết lộ rằng 9 trong số các ứng dụng  quản lý mật khẩu phổ biến nhất hiện có trên Google Play dễ bị tấn công bởi một hoặc nhiều lỗ hổng bảo mật.

Ứng dụng quản lý mật khẩu phổ biến trên Android đều có một hoặc nhiều lổ hổng bảo mật.

Nhóm chuyên gia đã thử nghiệm trên các ứng dụng nổi tiếng như LastPass, Keeper, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, and Avast Passwords – mỗi ứng dụng đều có số lượt tải về giao động từ 100.000 đến 50 triệu lượt.

Các kết quả tổng thể rất đáng lo ngại và tiết lộ rằng các ứng dụng quản lý mật khẩu không cung cấp đủ các cơ chế bảo vệ cho những mật khẩu và thông tin được lưu trữ như những gì mà các nhà sản xuất ứng dụng đã hứa hẹn, TeamSIK chia sẻ.

Trong mỗi ứng dụng, các nhà nghiên cứu phát hiện ra một hoặc nhiều lỗ hổng bảo mật – tổng cộng 26 trường hợp – tất cả những trường hợp đó hiện đã được báo cáo tới các nhà lập trình ứng dụng và đã được cập nhật sửa chữa trước khi báo cáo này của nhóm được công bố rộng rãi.

Mật khẩu chính được lưu trong mã lệnh của chính ứng dụng

Theo nhóm nghiên cứu, một số ứng dụng quản lý mật khẩu dễ dàng bị tấn công thông qua những dữ liệu thừa và clipboard. Một số khác thì lưu trữ các mật khẩu chủ dưới dạng văn bản hoặc thậm chí để lộ ra những khóa mã hóa dưới dạng code.

Ví dụ, một lỗ hổng nguy hiểm ảnh hưởng đến ứng dụng Informaticore’s Password Manager. Ứng dụng đã lưu trữ các mật khẩu chính trong một mật mã với những khóa được mã hóa được code trong dòng lệnh của chính ứng dụng. Lổ hổng nãy cũng xuất hiện tương tự trên ứng dụng LastPass.

Thực tế, trong một số trường hợp, các mật khẩu được lưu trữ của người dùng có thể dễ dàng bị truy cập và lấy ra bởi bất kỳ ứng dụng độc hại được cài đặt trên thiết bị của người dùng.

Bên cạnh những vấn đề này, nhóm nghiên cứu cũng phát hiện ra rằng chức năng tự động điền thông tin trong các ứng dụng quản lý mật khẩu có thể bị lợi dụng để ăn cắp các thông tin riêng tư thông qua các cuộc tấn công giả mạo.

Và điều đáng lo ngại hơn, đó là kẻ tấn công có thể dễ dàng lợi dụng và khai thác các lỗ hổng được phát hiện bởi nhóm nghiên cứu mà không cần phải root thiết bị.

Dưới đây là danh sách các lỗ hổng bảo mật trong các ứng dụng quản lý mật khẩu  phổ biến nhất trên Android được phát hiện bởi TeamSIK:

MyPasswords

Có thể đọc dữ liệu riêng tư của My Passwords

Giải mã mật khẩu chính của My Passwords

Mở khóa miễn phí gói Premium của My Password

1Password – Password Manager

Rò rỉ mật khẩu của tên miền phụ trong trình duyệt 1Password Internal

Chuyển giao thức bảo mật HTTPS thành mặc định HTTP URL trong trình duyệt 1Password Internal

Không mã hóa tiêu đề và URL trong cơ sở dữ liệu của 1Password

Đọc dữ liệu riêng tư từ App Folder trong 1Password Manager

Tiết lộ thông tin riêng tư tới nhà cung cấp 1Password Manager

LastPass Password Manager

Khóa chủ bị hardcoded trong LastPass Password Manager

Rò rỉ dữ liệu riêng tư trong trình tìm kiếm của LastPass

Đọc dữ liệu riêng tư (gồm mật khẩu chủ được lưu trữ) trong LastPass Password Manager

Informaticore's Password Manager

Vùng lưu trữ thông tin không an toàn trong Microsoft Password Manager

Keeper Password Manager

Bỏ qua câu hỏi bảo mật của Keeper Password Manager

Lấy thông tin mà không cần mật khẩu chủ của Keeper Password Manager

Dashlane Password Manager

Đọc dữ liệu riêng tư Từ App Folder trong Dashlane Password Manager

Rò rỉ thông tin tìm kiếm từ Google trong trình duyệt Dashlane Password Manager

Lấy mật khẩu chính từ Dashlane Password Manager

Rò rỉ mật khẩu của tên miền phụ trong trình duyệt Internal Dashlane Password Manager

F-Secure KEY Password Manager

Thông tin lưu trữ trong F-Secure KEY Password Manager không an toàn

Hide Pictures Keepsafe Vault

Keepsafe lưu trữ mật khẩu dưới dạng văn bản.

Avast Passwords

Mật khẩu các ứng dụng bị lấy từ Avast Password Manager

URL mặc định không an toàn cho các trang web phổ biến trong Avast Password Manager

Giao thức liên lạc bảo mật không hoạt động tốt trong Avast Password Manager

Hiện các nhà cung cấp ứng dụng đã giải quyết tất cả những vấn đề nêu trên, nên người dùng được khuyến cáo nên cập nhật các ứng dụng quản lý mật khẩu của họ càng sớm càng tốt, bởi vì bây giờ hacker đã có tất cả các thông tin cần thiết để khai thác lổ hổng từ các phiên bản cũ hơn của các ứng dụng quản lý mật khẩu.

TH

Thông tin website

Chuyên trang Bản tin khoa học công nghệ.
Thực hiện : Phòng Khoa học - Công nghệ, Trung Tâm CNTT, BộVăn hoá,Thể thao & Du lịch.
Người chịu trách nhiệm chính: Nguyễn Thanh Liêm - Giám đốc.

Địa chỉ: Ngõ 2 số 20, Vân Hồ, Hoa Lư, Hà Nội;
Tel: 0243 9745845
Email: khoahoccongnghe@cinet.gov.vn
Ghi rõ nguồn khi phát lại thông tin từ website này.

Liên hệ Tòa soạn