Специалисты Йоркского университета выявили уязвимости, затрагивающие популярные менеджеры паролей. Эксплуатация этих брешей может привести к краже учётных данных пользователя.
Майкл Карр и Саймак Шахандашти, эксперты Йоркского университета, проанализировали пять программ для хранения паролей: LastPass, Dashlane, Keeper, 1Password и RoboForm.
В результате команда исследователей обнаружила четыре ранее неизвестные уязвимости, одна из которых способна привести к раскрытию учётных данных.
Согласно отчёту (PDF), выявленные проблемы безопасности позволяют замаскировать вредоносное приложение под легитимное и заставить менеджер паролей выдать учётные данные.
Например, Android-версии приложений 1Password и LastPass можно запутать фишинговыми техниками, поскольку они содержат уязвимый механизм автозаполнения паролей. Таким образом, если имя пакета вредоноса будет соответствовать легитимной программе, эти менеджеры паролей выдадут ей сохранённые логины и пароли.
Чтобы провести успешную атаку, злоумышленнику сначала придётся любым способом установить на Android-устройство жертвы вредоносное приложение.
Ещё одна проблема безопасности, обнаруженная экспертами в LastPass, Dashlane, Keeper и RoboForm оставляет учётные данные не до конца защищёнными при копировании в буфер обмена. На компьютерах с установленной Windows 10 логины и пароли можно скопировать из буфера в виде простого текста.
