Tags:
Node Thumbnail

TeamSIK กลุ่มวิจัยความปลอดภัยจาก Fraunhofer Institute for Secure Information Technology เข้าตรวจสอบความปลอดภัยของแอปเก็บรหัสผ่านยอดนิยม 7 รายการ พบว่าแอปทั้งหมดมีช่องโหว่หนักเบาต่างกันไป

ช่องโหว่เหล่านี้ส่วนมากถือว่าแอปเก็บรหัสผ่านต้องช่วยปกป้องผู้ใช้แม้จะไม่ล็อกเครื่อง หรือยกเครื่องให้ผู้อื่นใช้งาน หรือแม้แต่ทำข้อมูลส่วนตัวของผู้ใช้หลุดออกไปเช่นการรายงาน URL ที่ผู้ใช้เพิ่มรหัสผ่าน หลายแอปเทียบ URL ผิดพลาดทำให้เติมรหัสผ่านอัตโนมัติทั้งที่เป็นคนละโดเมนกัน

จุดที่พลาดเหมือนกันเช่น การอิมพลีเมนต์เบราว์เซอร์ไว้ในตัวแอปเก็บรหัสผ่านแล้วทำผิดพลาด เช่น ไม่ยอมเข้ารหัสเมื่อเชื่อมต่อไปยังกูเกิล, หรือเปิดให้เบราว์เซอร์อ่านไฟล์เฉพาะที่ไม่ควรอ่านออกมาได้โดยตรง

MyPasswords

  • SIK-2016-019: ช่องโหว่จาก HTML viewer ทำให้ผู้ที่มีเครื่องในมือสามารถเข้าอ่านข้อมูลของตัวแอปได้ในเวอร์ใน 4.5 HTML viewer ไม่มีในเวอร์ชั่นล่าสุดแล้วจึงไม่มีปัญหา
  • SIK-2016-020: กุญแจหลักถูกเข้ารหัสไว้อ่อนแอ ทำให้สามารถใช้ช่องโหว่ SIK-2016-019 อ่านกุญแจและล็อกอินเอารหัสผ่านทั้งหมดได้
  • SIK-2016-043: ไม่ใช่ช่องโหว่สำหรับผู้ใช้ แต่เป็นช่องโหว่อัพเกรดไปใช้รุ่นเสียเงินฟรี

Informaticore Password Manager

  • SIK-2016-021: กุญแจเข้ารหัสรหัสผ่านหลักเหมือนกันทุกเครื่อง ทำให้ถอดรหัสกลับออกมาได้โดยง่าย (ต้องเข้าถึงตัวเครื่องได้)

LastPass Password Manager

  • SIK-2016-022: กุญเข้ารหัสผ่านหลักใช้กุญแจเหมือนกันทุกเครื่อง
  • SIK-2016-023: เบราว์เซอร์ในตัวเชื่อมต่อกูเกิลโดยไม่เข้ารหัส
  • SIK-2016-024: ผู้ใช้เครื่องสามารถผ่านรหัสผ่านหลักออกมาได้จากเบราว์เซอร์ บนเครื่องที่ใช้ Android 4.1 ลงไป

Keeper Password-Manager

  • SIK-2016-025: ข้ามการยืนยันตัวตนด้วยคำถามเพิ่มเติมเมื่อสั่งรีเซ็ตรหัสผ่าน ต้องเข้าถึงเครื่องโดยตรงและเข้าถึงอีเมลผู้ใช้
  • SIK-2016-026: เพิ่มรหัสผ่านในฐานข้อมูลได้ ต้องเข้าถึงเครื่องโดยตรงและเข้าถึงอีเมลผู้ใช้

F-Secure KEY Password Manager

  • SIK-2016-027: เซฟรหัสผ่านหลักไว้ในเครื่องเสมอ แม้จะเลือกไม่เซฟรหัสผ่านเอาไว้

Dashlane Password Manager

  • SIK-2016-028: เบราว์เซอร์ในตัวสามารถอ่านไฟล์เฉพาะของแอปได้
  • SIK-2016-029: เชื่อมต่อกูเกิลโดยไม่เข้ารหัส
  • SIK-2016-030: หลังการถอนแอป ตัวแอปไม่ยอมลบข้อมูลใน AccountManager ทำให้แอปอื่นสวมรอยมาดูดข้อมูลได้ รหัสผ่านที่เก็บไว้ถอดรหัสได้ง่าย
  • SIK-2016-031: ตัวเติมรหัสผ่านเติมผิด subdomain ได้

Hide Pictures Keep Safe Vault

  • SIK-2016-032: รหัสผ่านหลักเก็บไว้ในไฟล์ preference เข้าถึงได้หากมี root

Avast Passwords

  • SIK-2016-033: ระบบเติมรหัสผ่านอัตโนมัติตรวจสอบชื่อแพ็กเกจเพียงบางส่วน เปิดโอกาสให้สร้างแอปมาขโมยรหัสผ่านจากแอปอื่น
  • SIK-2016-035: เทมเพลตรหัสผ่านใช้ URL เป็น http แทน https
  • SIK-2016-037: การเชื่อมต่อกับเซิร์ฟเวอร์ใช้ HTTP ที่ข้อความภายในเข้ารหัส แต่ถอดรหัสได้โดยง่าย

1Password

  • SIK-2016-038: ตัวเติมรหัสผ่านแยก subdomain ไม่ออก หลอกเอารหัสผ่านจาก subdomain อื่นได้
  • SIK-2016-039: เบราว์เซอร์เชื่อมต่อผ่าน HTTP หากไม่ได้ระบุว่าเป็น HTTPS (ข้อนี้ผมงงๆ ว่ามันเป็นช่องโหว่ด้วยหรือ?)
  • SIK-2016-040: ข้อมูลชื่อเว็บและ URL ไม่เข้ารหัสไว้ในฐานข้อมูล
  • SIK-2016-041: เบราว์เซอร์ในตัวสามารถอ่านไฟล์เฉพาะของแอปได้
  • SIK-2016-042: ส่ง URL ของเว็บที่กำลังเพิ่มรหัสผ่านกลับไปยังเซิร์ฟเวอร์เสมอ

ตอนนี้ TeamSIK ระบุว่าช่องโหว่ทั้งหมดถูกแก้ไขแล้ว ทุกคนที่ใช้งานควรตรวจสอบการอัพเดต มีช่องโหว่ของ Avast สองช่องที่ยังไม่เปิดเผยออกมา

ที่มา - TeakSIK, The Register

Get latest news from Blognone

Comments

By: y22k
ContributorWindows
on 2 March 2017 - 21:24 #973045

keeper ดูดีสุดหรือเปล่า? รีเซ็ตรหัสผ่านด้วยบราวเซอร์มันก็ให้ตอบคำถามลับนะ
lasspass ที่ไม่ใช้เพราะเมื่อสักเกือบสองปี รีเซ็ตรหัสผ่านมันไม่ต้องตอบคำถามลับ

By: playpotonjom
iPhoneAndroidUbuntuWindows
on 2 March 2017 - 23:04 #973063 Reply to:973046

+1

By: y22k
ContributorWindows
on 2 March 2017 - 23:35 #973066 Reply to:973046

ผมว่ามันอาจจะ 7+ นะครับทำให้ไม่อยู่รายการ

By: panurat2000
ContributorSymbianUbuntuIn Love
on 2 March 2017 - 22:07 #973049
panurat2000's picture

สามารถเข้าอ่านข้อมูลของตัวแอปได้ในเวอร์ใน 4.5 HTML viewer

ได้ในเวอร์ใน ?

กุญเข้ารหัสผ่านหลักใช้กุญแจเหมือนกันทุกเครื่อง

กุญเข้ารหัส => กุญแจเข้ารหัส

By: hisoft
ContributorWindows PhoneWindows
on 2 March 2017 - 22:45 #973056
hisoft's picture

ไม่มี True Key แฮะ

รุ่นเสียเงินฟรี

เป็นคำที่เขียนติดกันแล้วแลดูฮา 55555

By: Kittichok
Contributor
on 3 March 2017 - 23:18 #973236 Reply to:973056

เออเนอะ เสียเงินไปฟรี ๆ

By: ZiiT
ContributorAndroidWindows
on 3 March 2017 - 08:04 #973081

น่าจะเพิ่มในเนื้อข่าวนะครับ ว่าเป็นการทดสอบแอพ Password Manger เฉพาะบน Android เท่านั้น