这五款热门商用密码管理器中均存在缺陷，可导致用户凭证被盗

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

英国约克大学的研究员 Michael Carr 和 Siamak F. Shahandashti从五款热门商用密码管理器 LastPass、Dashlane、Keeper、1Password和 RoboForm 中发现了多个漏洞，其中一个可导致恶意应用窃取用户凭证。

密码管理器是用于存储凭证和其它敏感信息的加密保管库，它们可使个人所有应用程序和在线服务使用强大且唯一的凭证。

很多安全专家鼓励使用这些密码管理器，尽管也建议使用多因素认证，确保即使在保护密码管理器的凭证受限之后，攻击者也无法访问用户账户。

四个 0day

研究人员从这五款流行的商用密码管理器中找到了四个0day 漏洞，其中一个可导致凭证被暴露。论文指出，该漏洞可导致恶意应用程序模拟合法程序并诱骗密码管理器暴露存储凭证，影响 1Password 和 LastPass 安卓应用。由于这两款应用在“识别可自动填充的存储凭证时均使用了弱匹配标准”，因此均易受钓鱼攻击。

研究人员指出，因此恶意应用仅通过使用一个类似的包名称就能模拟合法应用。研究人员构建了将攻击应用于 LastPass 上的 PoC 应用，但表示它同样适用于 1Password。

研究人员解释称，“该 app 的一个登录屏幕旨在模拟谷歌官方登录屏幕，因此难以区分二者。LastPass 应用的弱匹配意味着当恶意应用启动时，LastPass 将通过存储在用户保管库中的谷歌凭证自动填充登录页面。”

然而，要成功执行攻击，需要将恶意应用安装在受害者的安卓设备上，诱使受害者使用易受攻击的密码管理器及其自动填充提示，并将目标应用程序的凭证存储在加密保管库中。

研究人员发现了另外一个漏洞，这些密码管理器未向复制到剪贴板的凭证提供足够的保护。具体而言，在 Windows 10 中，即使计算机被锁，也能够以明文形式从剪贴板粘贴凭证。

研究人员表示，“尽管攻击无法获悉和密码相关的账户是什么，但可以通过一个预编译的知道自动填充无法起作用的网站列表对凭证进行尝试。针对该问题的缓解建议是为密码管理器提供在经过某段时间后清空剪贴板的选项。”

为便于使用，某些密码管理器可使用户通过一个4位数 PIN 保护保管库的安全，但研究人员发现 RoboForm 和 Dashlane 安卓应用程序在PIN多次尝试失败后没有持久的计数器。

因此，攻击者可连续尝试两个 PIN，之后从最近的应用程序抽屉中删除该应用，之后在尝试两个 PIN。即使攻击者将手动引入 PIN，但他们仍然能够在平均2.5小时的时间内找到随机选择的 PIN。

研究人员表示，“虽然我们并未完全自动化这种攻击，但我们期望自动化攻击能够花费更少的时间来暴力破解 PIN。”研究员指出成功攻破 PI你可导致攻击者“查看、修改或删除密码管理器保管库中的记录”。

所有测试的密码管理器都为用户提供浏览器扩展，Keeper、Dashlane 和 1Password 可能易受“输入密码时的受UI驱动的暴力攻击”。

具体而言，即使10次尝试失败后，这些密码管理器并未部署安全措施，从而可能导致字典攻击。这些密码管理器均无法追踪错误的尝试次数，但 RoboForm 和 LastPass 实现多种机制，放缓可能的暴力攻击。

该问题发现于2017年。研究人员在2018年负责任地将这些漏洞告知厂商并表示所有的五家厂商均给出回应，但仅一家推出解决方案，主要原因是这些问题被评定为“低危”级别。

推荐阅读

安全研究员开发新工具 可提取密码管理器KeePass数据库密码

原文链接

https://www.securityweek.com/flaw-password-managers-allowed-apps-steal-credentials

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

                           点个“在看”，一起玩耍