9款热门密码管理应用可能正在泄露你的隐私数据

对于你的电脑、电子邮件和信息而言，确保你的密码安全是抵抗黑客攻击的第一道防线。而为了让大家生成足够复杂足够安全的密码的同时又省去记忆的烦恼，密码管理软件便应运而生了。

什么是密码管理软件呢？ 

密码管理软件是一种能够创建、储存、管理你所有网站、应用的密码的软件。有些管理软件甚至还有填表功能，能够在你访问那些网站时，自动帮你填写用户名和密码。如此看来，密码管理器确实帮我们解决了很多麻烦，但是你有想过如果密码管理器本身存在安全风险，后果会如何吗？

当然，上面的问题并不仅仅是一个假设，根据一项新的报告显示，一些主流密码管理器自身存在关键漏洞，会暴露用户隐私。

近日， Fraunhofer德国信息安全技术研究中心TeamSIK安全小组发布的一份报告称，在Google Play上发现9款流行的Android密码管理器可能会受到一个或多个安全漏洞影响。

主流Android密码管理器受到一个或多个安全漏洞影响 

该安全团队对LastPass、Keeper、1Password、My Passwords、Dashlane 密码管理器、Informaticore密码管理器、F-Secure KEY、Keepsafe以及Avast Passwords 9款密码管理器进行了检查，这些密码管理器的安装量都在10万—5000万之间，一旦存在安全问题，覆盖范围可想而知。

TeamSIK表示：

检测的总体结果非常令人担忧，尽管这些密码管理器应用程序都声称会为密码存储和用户凭证提供足够的保护机制，但是结果并非如此。

研究人员表示，每一款应用程序中都包含一个或多个安全漏洞，共计在这9款密码管理器中发现26个安全漏洞。目前所有检测出的漏洞结果都已经报告给了应用程序制造商。

主密钥的加密密钥硬编码在应用程序的代码中

根据该安全团队所言，一些密码管理器应用程序非常容易遭受数据残留攻击和剪贴板嗅探（clipboard sniffing）。一些应用程序将主密码存储为纯文本或是直接在应用程序代码中暴露出加密密钥。

例如一个影响Informaticore密码管理器的高危漏洞，就是由于该应用程序将主密码的加密密钥硬编码在应用程序的代码中，类似的漏洞同样存在于LastPass密码管理器中。事实上，在某些情况下，用户存储的密码很容易被安装在用户设备中的任意恶意软件所访问和泄漏。

除了上述问题，研究人员还发现，在大多数密码管理器应用程序中的自动功能可以通过“隐藏网络钓鱼”攻击的方式，被攻击者用于窃取存储的隐私数据。

而最令人担忧的情况是什么呢？研究人员发现的大部分漏洞都可以被任意攻击者轻易地利用而不需要获取root权限。

脆弱的密码管理器及影响它们的漏洞

以下是TeamSIK安全团队发现的一些主流Android密码管理器中存在的漏洞：

MyPasswords密码管理器：

读取MyPasswords应用程序私人数据；

主密码的加密密钥硬编码在应用程序的代码中；

免费的高级功能解锁MyPasswords；

1Password密码管理器：

在1Password内部浏览器中子域名密码泄漏；

在1Password内部浏览器中默认将HTTPS降级为HTTP链接；

1Password数据库中标题和链接不加密；

从应用程序文件夹中读取私人数据；

将隐私问题，信息泄漏给1Password密码管理器供应商；

LastPass密码管理器：

主密钥硬编码在LastPass密码管理器应用程序中；

隐私，数据泄漏；

从LastPass密码管理器中读取私人数据（存储的主密码）；

Informaticore密码管理器：

不安全的凭证存储；

Keeper密码管理器：

安全问题绕过；

没有主密码的情况下进行数据注入；

Dashlane密码管理器：

从应用程序文件夹中读取私人数据；

谷歌搜索信息泄漏；

数据残留攻击；

Dashlane内部浏览器中子域名密码泄漏；

F-Secure KEY密码管理器：

不安全的凭证存储； 

Keepsafe密码管理器：

密码明文存储； 

Avast密码管理器：

从Avast密码管理器中窃取应用程序密码；

默认将HTTPS降级为HTTP链接；

破损的安全通信实现；

研究人员计划在接下来的HITB安全会议上展示他们的研究成果，为每个漏洞提供更多技术细节，用户可以前往阅读TeamSIK报告，获取更多详细信息。

目前各供应商已经解决了所有安全问题，建议所有用户尽快更新自己的密码管理器应用程序，因为现在黑客已经掌握了所有密码管理器存在的安全漏洞情况，随时可能发起进一步攻击。