Исследователи из группы TeamSIK опубликовали результаты проверки безопасности самых популярных менеджеров паролей для платформы Android. Менеджеры паролей часто рекомендуются как надёжный и безопасный способ хранения паролей с использованием гарантирующих конфеденциальность криптографических методов, но упускается то, что сам менеджер паролей является слабым звеном и может лишь создавать иллюзию защищённости, так как уязвимость в нём может привести к попаданию в руки злоумышленника сразу всех паролей. Например, какие бы надёжные криптографические методы не использовались для шифрования хранилища, их сведёт на нет шифрование мастер-пароля ключом, прописанным в коде приложения.

Для изучения были выбраны самые популярные по числу загрузок менеджеры паролей, представленные в каталоге Google Play.
Результаты предпринятой проверки оказались плачевными и не лучше, чем при анализе VPN-приложений для Android — в 9 менеджерах паролей выявлены серьёзные уязвимости, позволяющие получить доступ к закрытой информации.

В том числе во многих приложениях мастер-пароль или ключ для его шифрования был доступен для извлечения, пароли хранились в открытом виде или не была обеспечена должная защита хранилища. Кроме того, приложения оказались не защищены от применения дополнительных снифферов ввода и не очищали буфер обмена после передачи через него пароля. Также отмечается достаточно длительный срок устранения выявленных проблем — о большинстве уязвимостей разработчикам было сообщено ещё осенью прошлого года, а исправления были выпущены лишь спустя несколько месяцев.

Наиболее интересные проблемы:

• MyPasswords — возможность чтения закрытых данных и дешифрования мастер-пароля;
• Informaticore/Mirsoft Password Manager — небезопасное хранение учётных записей, ключ для доступа к мастер-паролю был вшит в код приложения;
• LastPass Password Manager — вшитый фиксированный универсальный ключ доступа, утечка данных при использовании поиска и возможность извлечения мастер пароля;
• Keeper Passwort-Manager — возможность обхода контрольного вопроса и выполнение сброса мастер-пароля без аутентификации, возможность подстановки данных в защищённое хранилище без ввода мастер-пароля;
• F-Secure KEY Password Manager — небезопасное хранение учётных записей, хранение мастер-пароля в открытом виде;
• Dashlane Password Manager — возможность чтения закрытых данных из каталога приложения, возможность извлечения мастер-пароля и утечка паролей для поддоменов;
• Hide Pictures Keep Safe Vault — хранение паролей в открытом виде;
• Avast Passwords — получение информации о паролях через из утечку при автозаполнении форм, обращение к типовым страницам входа популярных сайтов без шифрвания по HTTP, передача данных на внешний бэкенд по HTTP;
• 1Password — возможность чтения закрытых данных из каталога приложения, вход по умолчанию по HTTP, хранение заголовков и URL без шифрования, утечка паролей для поддоменов.