LINUX.ORG.RU
ФорумMobile

Android-софт - решето

 ,


0

1

http://www.opennet.ru/opennews/art.shtml?num=46121

Исследователи из группы TeamSIK опубликовали результаты проверки безопасности самых популярных менеджеров паролей для платформы Android.

...

Результаты предпринятой проверки оказались плачевными - в 9 менеджерах паролей выявлены серьёзные уязвимости, позволяющие получить доступ к закрытой информации.

...

В том числе во многих приложениях мастер-пароль или ключ для его шифрования был доступен для извлечения, пароли хранились в открытом виде или не была обеспечена должная защита хранилища. Кроме того, приложения оказались не защищены от применения дополнительных снифферов ввода и не очищали буфер обмена после передачи через него пароля.

...


MyPasswords - возможность чтения закрытых данных и дешифрования мастер-пароля;
Informaticore/Mirsoft Password Manager - небезопасное хранение учётных записей, ключ для доступа к мастер-паролю был вшит в код приложения;
LastPass Password Manager - вшитый фиксированный универсальный ключ доступа, утечка данных при использовании поиска и возможность извлечения мастер пароля;
Keeper Passwort-Manager - возможность обхода контрольного вопроса и выполнение сброса мастер-пароля без аутентификации, возможность подстановки данных в защищённое хранилище без ввода мастер-пароля;
F-Secure KEY Password Manager - небезопасное хранение учётных записей, хранение мастер-пароля в открытом виде;
Dashlane Password Manager - возможность чтения закрытых данных из каталога приложения, возможность извлечения мастер-пароля и утечка паролей для поддоменов;
Hide Pictures Keep Safe Vault - хранение паролей в открытом виде;
Avast Passwords - получение информации о паролях через из утечку при автозаполнении форм, обращение к типовым страницам входа популярных сайтов без шифрвания по HTTP, передача данных на внешний бэкенд по HTTP;
1Password - возможность чтения закрытых данных из каталога приложения, вход по умолчанию по HTTP, хранение заголовков и URL без шифрования, утечка паролей для поддоменов.



Это конечно все плохо, но меня больше напрягают всякие клавиатуры под ведроид, вот например популярный швайп, который запрашивает доступ в интернет, это ему вообще зачем? Темки подгружать? А кто сказал что он не может выгружать что-то с телефона?

Deleted

Есть же keepass, при этом под все платформы. Нет, будем пользоваться поделками васянов.

alozovskoy ★★★★★
()

Android-софт - решето

Кто бы сомневался?

crutch_master ★★★★★
()

Не хочешь давать разрешения приложению - не давай. Не хочешь ставить ПО, к которому не имеешь доверия - не ставь. Надеюсь, тебе влепят провокацию флейма.

droserasprout ★★
()

А причём тут платформа? Говно софт везде говнософт. Кто же вас заставляет им пользоваться - вот это вопрос.

ii8_ ★★★★
()
Ответ на: комментарий от Oxdeadbeef

Ну нет, андроед - это пустышка, в которой никаких дел не ведут, документов не хранят. А на десяточке, которая сама зонд из зондов, люди бизнес делают. Вот что страшно то.

bread
()

Это конечно все плохо, но меня больше напрягают всякие клавиатуры под ведроид, вот например популярный швайп, который запрашивает доступ в интернет, это ему вообще зачем? Темки подгружать? А кто сказал что он не может выгружать что-то с телефона?

Забей, под андроидом любое приложение может увести твои данные в интернет даже без разрешения.

anonymous
()

Темки подгружать? А кто сказал что он не может выгружать что-то с телефона?

Чтобы нормально скачать темки ему действительно нужен доступ в интернет. А чтобы отправить можно банально открыть браузер с данными в урле. Забавно, да?

anonymous
()

android шерето

Ну ты прям Америку открыл. Жаль что нормальных альтернатив ему нет.

karton1 ★★★★★
()

это ему вообще зачем? Темки подгружать?

Надо блочить фаером, вот и всё. А еще: не пользоваться приложениями, которые требуют неадекватные разрешения.

А кто сказал что он не может выгружать что-то с телефона?

По идее, это еще ограничивается другими запретами - чтение смс, контактов и других файлов не относящихся к функциональности ПО. Т.е. ПО может иметь доступ в интернет, но не к приватной информации. Понятно, что для клавиатуры доступ к интернеты надо запретить. А обновлять базы исключений и синхронизировать пользовательский профиль только системными способами, для этого предназначенными.

Deleted
()

F-Secure KEY Password Manager - небезопасное хранение учётных записей, хранение мастер-пароля в открытом виде;
Avast Passwords - получение информации о паролях через из утечку при автозаполнении форм, обращение к типовым страницам входа популярных сайтов без шифрования по HTTP, передача данных на внешний бэкенд по HTTP;

Первое вообще ужасно, для компании которая предлагает какие-то «безопасные решения»
Второе ССЗБ серьезное, потому-что уже много раз говорили и говорят, что так делать не нужно. И все равно делают наоборот.
KeePassDroid не проверили. Впрочем никто ключи с памяти доставать не запретит при физическом доступе, а те, что работают в веб или требуют интернет, в большинстве случаев тешеро by default.

anonymous_sama ★★★★★
()

Из всего этого — удивляет только то, что у Lastpass все так плохо. Они вроде как декларировали что все будет адски надежно шифроваться. В любом случае — даже без этого, пользоваться чем-то кроме KeePass 2 - это ССЗБ

qrck ★★
()

напрягают всякие клавиатуры под ведроид, вот например популярный швайп, который запрашивает доступ в интернет

Дык шестой ведроид же

TooPar
()
Ответ на: комментарий от F457

По слухам там можно не только смотреть какие права требует приложение но и выбирать какие выдавать, а какие нет.

Deleted
()
Ответ на: комментарий от Deleted

Ога, интернеты теперь отключить нельзя принципиально.

anonymous
()
Ответ на: комментарий от Deleted

Интернет не относится к опасным пермиссиям и пользователь не может этой пермиссией управлять.

F457 ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.