image

Onderzoekers vinden kwetsbaarheden in wachtwoordmanagers

dinsdag 17 maart 2020, 16:12 door Redactie, 7 reacties

Onderzoekers van de Universiteit van York hebben in vijf populaire wachtwoordmanagers lekken gevonden waardoor een aanvaller wachtwoorden zou kunnen achterhalen. Het gaat om de wachtwoordmanagers Dashlane, LastPass, Keeper, 1Password en RoboForm voor Android en Windows.

Zo zijn LastPass en 1Password kwetsbaar voor een phishingaanval waarbij de gebruiker een malafide app downloadt, die zich vervolgens aan de wachtwoordmanager voordoet als een legitieme app. De wachtwoordmanager zal vervolgens de opgeslagen inloggegevens van de legitieme app aan de malafide app verstrekken. Verder bleek dat Dashlane en RoboForm kwetsbaar zijn voor bruteforce-aanvallen op de pincode waarmee er toegang tot opgeslagen wachtwoorden kan worden verkregen. Voor het uitvoeren van een dergelijke aanval moet een aanvaller wel toegang tot het toestel hebben.

Een ander probleem doet zich voor bij de clipboardfunctie van computers. Wachtwoordmanagers laten gebruikers opgeslagen wachtwoorden kopiëren en plakken. Windows 10 biedt echter toegang tot het clipboard van een vergrendelde computer. Een aanvaller met fysieke toegang zou op deze manier gekopieerde wachtwoorden kunnen stelen. Alleen 1Password heeft maatregelen tegen een dergelijke aanval genomen.

De onderzoekers rapporteerden de problemen aan de wachtwoordmanagers. Sommige problemen zijn opgelost, andere werden als klein risico bestempeld en niet verholpen. "In onze communicatie met de wachtwoordmanagers zagen we goede en slechte kanten in hoe ze omgaan met bugmeldingen. Positief was de reactie op ernstige of eenvoudig te verhelpen problemen die snel werden opgelost. Negatief was dat problemen die als lage prioriteit werden bestempeld te eenvoudig worden afgedaan", aldus de conclusie van de onderzoekers.

Image

Reacties (7)
17-03-2020, 19:33 door Anoniem
Windows 10 biedt echter toegang tot het clipboard van een vergrendelde computer.
Is dat waar? Zou een ernstig lek zijn.
17-03-2020, 19:58 door Anoniem
Het gaat om de wachtwoordmanagers Dashlane, LastPass, Keeper, 1Password en RoboForm voor Android en Windows.
Hemel, ook voor Android. Is dat waar? Zou een ernstig lek zijn.
17-03-2020, 20:22 door Anoniem
een phishingaanval waarbij de gebruiker een malafide app

Daar is niet veel tegen bestand...
18-03-2020, 09:25 door Anoniem
Door Anoniem:
een phishingaanval waarbij de gebruiker een malafide app

Daar is niet veel tegen bestand...

Zeker wel, door bijvoorbeeld te controleren op de hashes van de app of op een andere manier met certificaten. Drie van de vijf onderzochte passwordmanagers zijn er dan ook niet vatbaar voor.
18-03-2020, 12:27 door Anoniem
Door Anoniem:
een phishingaanval waarbij de gebruiker een malafide app

Daar is niet veel tegen bestand...

Als je naar de tabel kijkt, dan zie je dat 3 van de 5 wel tegen die specifiek methode bestand zijn.
18-03-2020, 19:32 door Anoniem
Door Anoniem:
Door Anoniem:
een phishingaanval waarbij de gebruiker een malafide app

Daar is niet veel tegen bestand...

Als je naar de tabel kijkt, dan zie je dat 3 van de 5 wel tegen die specifiek methode bestand zijn.

Dat lijkt mij heel bijzonder want als een app zich voordoet als een legitieme app dan kan hij alles wat een legitime app ook kan. Ik neem aan dat die andere drie gewoon geen data uitleveren aan andere apps en daarmee "veilig zijn" omdat ze die hele functie niet hebben.
18-03-2020, 19:33 door Anoniem
Door Anoniem: Het gaat om de wachtwoordmanagers Dashlane, LastPass, Keeper, 1Password en RoboForm voor Android en Windows.
Hemel, ook voor Android. Is dat waar? Zou een ernstig lek zijn.

Wat is er zo bijzonder aan dat het op Android onveilig is? Is Android anders zo veilig?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.