Sommige commerciële wachtwoordbeheerders zijn mogelijk kwetsbaar voor cyberaanvallen door nep-apps, nieuw onderzoek suggereert.

Beveiligingsexperts raden aan om een ​​complexe, willekeurig en uniek wachtwoord voor elk online account, maar het zou een uitdagende taak zijn om ze allemaal te onthouden. Dat is waar wachtwoordmanagers van pas komen.

Versleutelde kluizen die toegankelijk zijn met een enkel hoofdwachtwoord of pincode, ze slaan inloggegevens voor de gebruiker op en vullen deze automatisch in en worden sterk aanbevolen door het Britse National Cyber ​​Security Centre.

Echter, onderzoekers van de Universiteit van York hebben aangetoond dat sommige commerciële wachtwoordmanagers misschien geen waterdichte manier zijn om cyberbeveiliging te waarborgen.

Nadat u een schadelijke app heeft gemaakt om zich voor te doen als een legitieme Google-app, ze waren in staat om twee van de vijf wachtwoordmanagers die ze testten voor de gek te houden door een wachtwoord weg te geven.

Het onderzoeksteam ontdekte dat sommige wachtwoordbeheerders zwakke criteria gebruikten om een ​​app te identificeren en welke gebruikersnaam en wachtwoord ze moesten voorstellen voor automatisch aanvullen. Door deze zwakte konden de onderzoekers zich voordoen als een legitieme app door simpelweg een frauduleuze app met een identieke naam te maken.

Senior auteur van de studie, Dr. Siamak Shahandashti van de afdeling Computerwetenschappen aan de Universiteit van York, zei:"Kwetsbaarheden in wachtwoordmanagers bieden hackers de mogelijkheid om inloggegevens te extraheren, het compromitteren van commerciële informatie of het schenden van werknemersinformatie. Omdat ze poortwachters zijn van veel gevoelige informatie, rigoureuze beveiligingsanalyse van wachtwoordmanagers is cruciaal.

"Ons onderzoek toont aan dat een phishing-aanval van een kwaadaardige app zeer goed mogelijk is:als een slachtoffer wordt misleid om een ​​schadelijke app te installeren, kan het zichzelf presenteren als een legitieme optie op de prompt voor automatisch aanvullen en heeft het een grote kans op succes."

"In het licht van de kwetsbaarheden in sommige commerciële wachtwoordmanagers heeft ons onderzoek blootgelegd, we stellen voor dat ze strengere criteria moeten toepassen die niet alleen gebaseerd zijn op de vermeende pakketnaam van een app."

De onderzoekers ontdekten ook dat sommige wachtwoordmanagers geen limiet hadden op het aantal keren dat een master-pincode of -wachtwoord kon worden ingevoerd. Dit betekent dat als hackers toegang hadden tot het apparaat van een persoon, ze een "brute force" -aanval zouden kunnen lanceren, een viercijferige pincode raden in ongeveer 2,5 uur.

Naast deze nieuwe kwetsbaarheden, de onderzoekers stelden ook een lijst op van eerder geopenbaarde kwetsbaarheden die in een eerder onderzoek waren gesignaleerd en testten of deze waren opgelost. Ze ontdekten dat hoewel de ernstigste van deze problemen waren opgelost, velen waren niet behandeld.

De onderzoekers maakten deze kwetsbaarheden bekend aan de wachtwoordbeheerders.

Hoofdauteur van de studie, Michael Carr, die het onderzoek deed tijdens zijn studie voor zijn MSc in Cyber ​​Security aan de afdeling Informatica, Universiteit van York, zei:"Nieuwe kwetsbaarheden werden gevonden door middel van uitgebreide tests en op verantwoorde wijze bekendgemaakt aan de leveranciers. Sommige werden onmiddellijk opgelost, terwijl andere als een lage prioriteit werden beschouwd.

"Er is meer onderzoek nodig om rigoureuze beveiligingsmodellen voor wachtwoordmanagers te ontwikkelen, maar we raden individuen en bedrijven toch aan om ze te gebruiken omdat ze een veiligere en bruikbare optie blijven. Hoewel het niet onmogelijk is, hackers zouden een vrij geavanceerde aanval moeten lanceren om toegang te krijgen tot de informatie die ze opslaan."

Het herzien van beveiligingsproblemen in commerciële wachtwoordmanagers zal worden gepresenteerd op de 35e internationale conferentie over ICT-systeembeveiliging en privacybescherming (IFIP SEC 2020) in september, 2020.