Менеджеры паролей на Android не так безопасны, как многие считают

Алексей Орлов
27 Ноя 2014

Менеджеры паролей на Android не так безопасны, как многие считают

Предполагается, что менеджер паролей должен быть безопасным программным продуктом, правильно? Однако, то, что многие так думают, еще не означает, что так оно и есть. Еще в начале 2013 года группа исследователей обнаружила, что подобные приложения для ОС Android подвержены определенным рискам. Они протестировали 21 популярный менеджер паролей и пришли к выводу, что пароли, которые в них хранятся, могут быть получены другими приложениями, даже теми, которые обладают невысокими привилегиями.

Опасность утечки данных возникала в тот момент, когда менеджер паролей использовал буфер обмена для внесения информации. Почти два года спустя, данная проблема по-прежнему остается нерешенной, как минимум для нескольких, если не для всех приложений, которые были изначально проанализированы.

Недавно на Google Play появилось приложение под названием ClipCaster, которое призвано показать, насколько легко можно получить доступ к информации, хранящейся в менеджере паролей. Оно скрытно берет то, что было помещено в буфер обмена, и показывает эту информацию пользователю.

И если ClipCaster создавался всего лишь для демонстрационных целей, то соответствующее вредоносное приложение с доступом в Интернет легко может переслать учетные данные пользователя злоумышленникам, в то время как сам пользователь совершенно не будет об этом догадываться.Интересно то, что вина в данной ситуации не может быть возложена на отдельных менеджеров паролей, скорее уязвимость вызвана особенностями самой ОС Android.

Приложение Last Pass

Одним из уязвимых приложений совершенно точно является известное приложение LastPass, и генеральный директор компании-разработчика Джо Сигрист так прокомментировал ситуацию:

«Это проблема существует на уровне операционной системы, и затрагивает все устройства, что работают под управлением Андроид. Даже если вы просто используете буфер обмена, чтобы скопировать какую-либо информацию, вредоносное приложение может украсть эти данные – это то же самое, как если бы на ваш компьютер с Windows установили программу для слежки за буфером обмена или клавиатурный шпион. Вы можете поставить под угрозу вашу безопасность при установке недоверенного ПО».

Сигрист также посоветовал пользователям менеджеров паролей устанавливать только те приложения, которым они доверяют. Конечно, у Google есть средства для сканирования приложений на предмет их подлинности, однако этого может быть недостаточно. Если вы всерьез обеспокоены безопасностью своего устройства, то вам стоит установить какой-нибудь мобильный антивирус.

Одним из лучших приложений такого рода является Lookout, но вы можете выбрать и другое решение от известных разработчиков, например, Лаборатории Касперского или Доктор Веб.

Алексй Орлов

Оставить комментарий