Kali ini diungkapkan bahwa 9 aplikasi password manager untuk Android paling populer memiliki kerentanan keamanan. Laporan ini dipublikasikan pada hari selasa kemarin oleh pakar keamanan dari TeamSIK.
Tim tersebut meniliti LastPass, Keeper, 1Password, My Passwords, Dashlane Password Manager, Informaticore’s Password Manager, F-Secure KEY, Keepsafe, and Avast Passwords. Yang mana tiap aplikasinya sudah memiliki antara 100.000 dan 50 Juta download.
Dalam setiap aplikasi, para peneliti menemukan satu atau bahkan lebih memiliki kerentanan keamanan. Total kerentanan yang berhasil ditemukan yaitu 26 issue.
Encryption Keys Untuk Master Key Hard-Coded Dalam Kode App
Menurut tim, beberapa aplikasi password manager rentan terhadap serangan residu data dan clipboard sniffing. Beberapa aplikasi yang tersimpan master password dalam teks biasa atau kunci enkripsi bahkan terkena dalam kodenya.
Contohnya, satu kerentanan tingkat keparahan tinggi dalam aplikasi Password Manager Informaticore. Yang disebabkan oleh aplikasi menyimpan password master dalam bentuk terenkripsi dengan kunci enkripsi yang sulit dikodekan dalam kode aplikasi itu sendiri. Sebuah bug serupa juga ditemukan di LastPass.
Bahkan, dalam beberapa kasus, password pengguna yang disimpan bisa dengan mudah diakses dan dieksfiltrasi oleh aplikasi berbahaya yang diinstal pada perangkat pengguna.
Selain masalah ini, para peneliti juga menemukan bahwa fungsi autofill di sebagian besar aplikasi password manager bisa disalahgunakan. Penyalahgunaan tersebut bisa digunakan untuk mencuri rahasia yang disimpan melalui “hidden phishing” attacks.
Dan parahnya, setiap penyerang bisa dengan mudah memanfaatkan banyak kelemahan yang ditemukan oleh para peneliti tanpa perlu akses root.
Berikut Daftar Password Manager Yang Memiliki Kerentanan:
1. MyPasswords
- Membaca data pribadi dalam My Passwords App
- Master Password Decryption dari My Passwords App
- Membuka Free Premium Features untuk My Passwords
2. 1Password – Password Manager
- Subdomain Password Leakage dalam 1Password Internal Browser
- HTTPS downgrade ke HTTP URL secara default dalam 1Password Internal Browser
- Titles dan URL tidak dienkripsi dalam 1Password Database
- Membaca data pribadi dari App Folder dalam 1Password Manager
- Masalah privasi, Informasi bocor ke Vendor 1Password Manager
3. LastPass Password Manager
- Hardcoded Master Key dalam LastPass Password Manager
- Privasi, Data leakage dalam LastPass Browser Search
- Membaca data pribadi (Stored Master password) dari LastPass Password Manager
4. Informaticore Password Manager
- Insecure Credential Storage dalam Microsoft Password Manager
5. Keeper Password Manager
- Bypass pertanyaan keamanan Keeper Password Manager
- Keeper Password Manager Data Injection tanpa Master Password
6. Dashlane Password Manager
- Membaca data pribadi dari App Folder dalam Dashlane Password Manager
- Google Search Information Leakage dalam Dashlane Password Manager Browser
- Residue Attack Extracting Master Password dalam Dashlane Password Manager
- Subdomain Password Leakage dalam Internal Dashlane Password Manager Browser
7. F-Secure KEY Password Manager
- F-Secure KEY Password Manager Insecure Credential Storage
8. Hide Pictures Keepsafe Vault
- Keepsafe Plaintext Password Storage
9. Avast Passwords
- Mencuri App Password dari Avast Password Manager
- Insecure Default URL untuk site populer dalam Avast Password Manager
- Broken Secure Communication Implementation dalam Avast Password Manager
