Исследователи из группы TeamSIK опубликовали (https://team-sik.org/trent_portfolio/password-manager-apps/) результаты проверки безопасности менеджеров паролей для платформы Android. Результаты оказались не лучше, чем при анализе (https://www.opennet.me/opennews/art.shtml?num=45940) VPN-приложений для Android - в 9 менеджерах паролей выявлены серьёзные уязвимости, позволяющие получить доступ к закрытой информации. В том числе в некоторых приложениях мастер-пароль был доступен для извлечения, пароли хранились в открытом виде или не была обеспечена должная защита хранилища. Также отмечается достаточно длительный срок устранения выявленных проблем - о большинстве уязвимостей разработчикам было сообщено ещё осенью прошлого года, а исправления были выпущены лишь спустя несколько месяцев.

Наиболее интересные проблемы:

-  MyPasswords (https://play.google.com/store/apps/details?id=com.er.mo.apps...) - возможность чтения закрытых данных и дешифрования мастер-пароля;

-  Informaticore/Mirsoft Password Manager (https://play.google.com/store/apps/details?id=com.mirsoft.pa...) - небезопасное (https://team-sik.org/sik-2016-021/) хранение учётных записей, ключ для доступа к мастер-паролю был вшит в код приложения;

-  LastPass Password Manager (https://play.google.com/store/apps/details?id=com.lastpass.l...) - вшитый фиксированный универсальный ключ доступа, утечка данных через функцию поиска и возможность извлечения мастер пароля;

-  Keeper Passwort-Manager (https://play.google.com/store/apps/details?id=com.fsecure.key) - возможность обхода контрольного вопроса и возможность подстановки данных в защищённое хранилище без ввода мастер-пароля;

-  F-Secure KEY Password Manager (https://play.google.com/store/apps/details?id=com.dashlane) - небезопасное хранение учётных записей, хранение мастер-пароля в открытом виде;

-  Dashlane Password Manager (https://play.google.com/store/apps/details?id=com.dashlane) - возможность чтения закрытых данных из каталога приложения, возможность извлечения мастер-пароля и утечка паролей для поддоменов;
-  Hide Pictures Keep Safe Vault (https://play.google.com/store/apps/details?id=com.kii.safe) - хранение паролей в открытом виде;

-  Avast Passwords (https://play.google.com/store/apps/details?id=com.avast.andr...) - получение информации о паролях через из утечку при автозаполнении форм, обращение к типовым страницам входа популярных сайтов без шифрвания по HTTP, передача данных на внешний бэкенд по HTTP;

-  1Password (https://play.google.com/store/apps/details?id=com.agilebits....) - возможность чтения закрытых данных из каталога приложения, вход по умолчанию по HTTP, хранение заголовков и URL без шифрования, утечка паролей для поддоменов.

URL: https://team-sik.org/trent_portfolio/password-manager-apps/
Новость: http://www.opennet.me/opennews/art.shtml?num=46121

• Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 08:50 , 02-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 08:55 , 02-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 09:08 , 02-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,iv, 09:18 , 02-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,A.Stahl, 09:38 , 02-Мрт-17
    • Небезопасное хранение данных в менеджерах паролей для платфо...,Iaaa, 13:12 , 02-Мрт-17
      • Небезопасное хранение данных в менеджерах паролей для платфо...,A.Stahl, 13:19 , 02-Мрт-17
      • Небезопасное хранение данных в менеджерах паролей для платфо...,Аномномномнимус, 18:18 , 02-Мрт-17
      • Небезопасное хранение данных в менеджерах паролей для платфо...,я, 22:15 , 02-Мрт-17
      • Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 19:40 , 03-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 10:53 , 02-Мрт-17
    • Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 15:42 , 02-Мрт-17
    • Небезопасное хранение данных в менеджерах паролей для платфо...,BlackRaven86, 16:42 , 02-Мрт-17
    • Небезопасное хранение данных в менеджерах паролей для платфо...,fi, 16:50 , 02-Мрт-17
      • Небезопасное хранение данных в менеджерах паролей для платфо...,Andrey Mitrofanov, 16:56 , 02-Мрт-17
    • Небезопасное хранение данных в менеджерах паролей для платфо...,h31, 02:26 , 03-Мрт-17
      • Небезопасное хранение данных в менеджерах паролей для платфо...,Andrey Mitrofanov, 09:08 , 03-Мрт-17
      • Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 10:13 , 03-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,romanegunkov, 03:13 , 03-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Mohn, 09:21 , 02-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 09:50 , 02-Мрт-17
    • Небезопасное хранение данных в менеджерах паролей для платфо...,Аномномномнимус, 10:39 , 02-Мрт-17
      • Небезопасное хранение данных в менеджерах паролей для платфо...,A.Stahl, 10:47 , 02-Мрт-17
        • Небезопасное хранение данных в менеджерах паролей для платфо...,Аномномномнимус, 10:57 , 02-Мрт-17
        • Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 12:11 , 02-Мрт-17
          • Небезопасное хранение данных в менеджерах паролей для платфо...,Andrey Mitrofanov, 14:23 , 02-Мрт-17
            • Небезопасное хранение данных в менеджерах паролей для платфо...,Аномномномнимус, 18:39 , 02-Мрт-17
              • Небезопасное хранение данных в менеджерах паролей для платфо...,Ordu, 10:07 , 03-Мрт-17
    • Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 12:22 , 02-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 19:14 , 02-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 09:28 , 02-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,dimqua, 09:32 , 02-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,сисястая_тян, 09:46 , 02-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,chinarulezzz, 15:00 , 05-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 09:37 , 02-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,adminlocalhost, 09:39 , 02-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 09:53 , 02-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 10:08 , 02-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,A.Stahl, 10:17 , 02-Мрт-17
    • Небезопасное хранение данных в менеджерах паролей для платфо...,Проходямимо, 10:50 , 02-Мрт-17
      • Небезопасное хранение данных в менеджерах паролей для платфо...,A.Stahl, 10:56 , 02-Мрт-17
        • Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 12:25 , 02-Мрт-17
      • Ох. KeePassDroid.,diggya, 13:49 , 02-Мрт-17
        • Ох. KeePassDroid.,Аноним, 19:19 , 02-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 10:14 , 02-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,Ordu, 10:09 , 03-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,яя, 10:15 , 02-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 10:44 , 02-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,ryoken, 10:27 , 02-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 10:31 , 02-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 10:58 , 02-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 11:37 , 02-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,mumu, 11:42 , 02-Мрт-17
    • Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 15:45 , 02-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 11:53 , 02-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 11:57 , 02-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,Антон, 13:24 , 02-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 12:17 , 02-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,vantoo, 12:28 , 02-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Алексей, 14:18 , 02-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,Антон, 14:27 , 02-Мрт-17
    • Небезопасное хранение данных в менеджерах паролей для платфо...,Алексей, 14:39 , 02-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 15:25 , 02-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,Andrey Mitrofanov, 16:29 , 02-Мрт-17
    • Небезопасное хранение данных в менеджерах паролей для платфо...,НяшМяш, 18:07 , 02-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 20:43 , 02-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 23:24 , 02-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 06:14 , 03-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 07:05 , 03-Мрт-17
  • Небезопасное хранение данных в менеджерах паролей для платфо...,123, 07:36 , 03-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,DmA, 17:36 , 03-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Виталий, 20:53 , 03-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Аноним, 13:51 , 08-Мрт-17
• Небезопасное хранение данных в менеджерах паролей для платфо...,Pavel, 16:00 , 13-Мрт-17

Сапожники без сапог. Тоже самое с антивирусами. Из свежего: http://seclists.org/fulldisclosure/2017/Feb/68 "Remote Code Execution as Root via ESET Endpoint Antivirus 6"

Шикарно:
MyPasswords
SIK-2016-043: Free Premium Features Unlock for My Passwords

Это не то, что можно подумать: "The free application from the google play store can be upgraded to a premium version with additional features. An implementation flaw allows the user directly to upgrade the app without paying."

По ссылке только проблемные приложения. А что нибудь нормально работающее они нашли?

Хранение секретных данных это целая наука и сложно ожидать глубоких знаний от разработчиков андроид-приложений для домохозяек. Тут логичней воспользоваться чем-то таким (https://play.google.com/store/apps/details?id=tk.asciigames....), что в принципе пароли не хранит, а просто делает их более удобными для запоминания человеком.

Фигня.

Например, первый из паролей со скрина - DutyZad3 - легко брутфорсится по словарю.

Ну-у-у... Легко, значит, брутфорсится? Ну если ты так говоришь...

Все столь короткие пароли прекрасно брутфорсятся. Нормальная длина - хотя бы 16 знаков, лучше 20.

Это смотря что брутфорсить. Если сетевой сервис - здесь, пожалуй, опасны только словарные пароли + некоторые видоизменения оных, да и вряд ли кому в здравом уме захочется перебирать таким образом тысячи паролей. А с хэшами при современной производительности GPU и 15-символьный alphanumeric mixed-case может не спасти. Я бы сказал, что DutyZad3 всё-таки хороший пароль - далеко не словарный и легко запоминается/вводится.

> брутфорсится по словарю

Вот потому, Iaaa, что некторые даже не отличают брутфорс от перебора по словарю,
и имеем проблемы с безопасностью

https://play.google.com/store/apps/details?id=com.android.ke...

Навались дружнее, чо так мало минусов?

Для недалёких поясню: open source, поддерживает базу Keepassx, пароли вычищаются из буфера через таймаут или сразу после использования. Найдите надёжнее, вперёд.

Хороший, сам им пользуюсь. Совместимость с десктопным KeePassX очень помогает.

тоже удивлен что его нет в анализе.

И кажись GPL-ый

#>>play.google.com/store/apps/
> И кажись GPL-ый

Креститься https://f-droid.org/repository/browse/?fdid=com.android.keepass надо.

Мне больше этот вариант нравится:
https://play.google.com/store/apps/details?id=keepass2androi...
У него общая кодовая база с десктопным приложением, внушает некоторое доверие.

>play.google
>?id=keepass2android.keepass2android
> У него общая кодовая база с десктопным приложением,

Keeoass2 на mono. Этот _тоже_?? ...Мигель-то -- молодецЬ.

>внушает некоторое доверие.

Та. Ты Чо!?

Это та кодовая база, которая без VCS пишется?

Надёжное это которое использует scrypt с параметрами не ниже рекомендуемых, полностью офлайн и когда ни пароли ни контрольное слово не из словаря. Никакой брутфорс не пробьет. Точно было такое приложение, то по-моему не в гуглплее.

А как насчет KeepassDroid?

http://fc13.ifca.ai/proc/4-2.pdf

Какая-то длинная портянка на языке потенциального противника, в которой мылятся основы, не дочитал. А по сути есть что?

>на языке потенциального противника

Божежтыжмой... У-х-х-х...
>А по сути есть что?

Водка подешевела.

> Водка подешевела.

Хорошо тебе...

>Водка подешевела.

Для тебя это основной смысл жизни?

>>Водка подешевела.

Для вас и это длинн, я поясню.

> Для тебя это основной смысл жизни?

Нет, для вас, которым "слишком длинно и фчём смысл", и которые не могут в глум над ними, такими незатуманенными-незатуманенными.

В глум он может... Ржу. У тебя и остальных просто бомбануло от одной старой фразы. У вас таких "проДвинутых" всегда с неё бомбит. И вы всегда не даёте прямых ответов на заданные в начале ветви вопросы, только посылаете на левые ссылки, на давно протухшие документы с презентацией некоего мифического USecPassBoard, как панацеи от всех бед.

> бомбануло от одной старой фразы.

Ах вот как ты видишь ситуацию... лол.

Не читал, но название уже наводит на мысль, что не про то тут. Keepass отчищает буфер-обмена, если что.

https://f-droid.org/repository/browse/?fdid=com.android.keepass

LastPass дыряв "by design", сколько там дыр не находи, они всё равно на одни грабли продолжают наступать - https://lastpass.com/support.php/support.php?cmd=showfaq&id=...

Нашли чего тестить. Да кому нужна эта проприетарщина?

ретрошаровцы, поди, телефонами вообще не пользуются. :)

нужна для пиара.

Мда, KeepSafe - 10 млн установок, у остальных от миллиона до пяти. И гады, как в описаниях ярко себя преподносят  bank-level, military-grade.

А что они должны писать в описаниях себя?  "мы дырявое сито"?

И зачем все эти софтины без совместимости с keepass bd нужны? Интересно, у них до весьма популярного Keepass2android руки не дошли или с ним всё в порядке?

уж сколько раз твердили миру: не устанавливайте крап из google play

Предлагаешь устанавливать его из файлопомоек с apk-шками?

F-Droid. А конкретно KeePassDroid или как там...
p.s. смотрю ты активизировался. весна приходит?

>F-Droid.

А какая же божественная десница не пускает в F-Droid халтуру? М?

>>F-Droid.
> А какая же божественная десница не пускает в F-Droid халтуру? М?

Такая, что там сначала обсуждают на форуме, что туда пускать. Некоторый хороший софт из-за этих обсуждений там годами может не появляться. После длительной дискусии и пары сотен патчей софтину всё же добавят (может быть). Это вам не помойка гугла.

Баян. Приложение, тырящее буфер обмена забирает себе все пароли. Все приложения паролей, работающие через буфер обмена, убыточны. Как решение есть челы, имулирующие клавиатуру, с двумя кнопками - ввести логин, ввести пароль.

Расскажите как можно использовать без буфера обмена?
Запомнить пасс в 20 символов на каждый профиль?

Приложения для обеспечения секретности должны быть с открытым кодом - необходимое условие. Это должно восприниматься как Отче наш.

> Это должно восприниматься как Отче наш.

Приступ неудержимой рвоты.

умные клавиатуры на смартфонах могут отправлять все, что было введену кому-то неизвестному в интернете. какой смысл хранить все пароли в закрытом хранилище, если они в сеть могут слиться еще на стадии ввода в БД?

фаерволом им запретить лезть туда

Вкратце: На ведроиде безопасности нет или нужен напильник. (Всякие там альтернативные прошивки + вдумчивое копание по специализированным ресурсам).

Да почти все дырявы: передают пароль через буфер обмена вместо использования accessibility api.

Пишут, что

> !! Update 2017-03-01: All reported vulnerabilities are fixed by the vendors !!

Через полгода после репортов пофиксили.

Я, честно, удивлен, что кто-то использует какие-то менеджеры паролей, кроме KeePassDroid . Официальный play - помойка, конечно. Не уважаю большинство разработчиков под андроид совершенно

На фоне изученных в отчёте дополнений с миллионами активных установок, KeePassDroid имеет достаточно скромную аудиторию. По звёздочкам,  KeePassDroid имеет примерно тот же рейтинг.

Т.е. для пользователя нет никаких индикаторов, что KeePassDroid лучше. Описания и заявленные характеристики примерно одинаковы. Посмотрят у кого больше установок и поставят дырявые из списка :-(

Интерфейс и юзабилити у него на уровне первых андроидов. Он где-то там так и остался.

Я сам за юзабилити. Но то что вы и вам подобные называеют этим словом - я называю "вылизанные яйца", и занимаются этим коты-корпорации, абы что делать, лишь бы оправдать штат гуманитариев с обостренным чувством "прекрасного"

Видимо, расчет на шифрование всего устройства. Менеджерпаролей - прога чтоб пароли не вводить =)

SafeInCloud наше всё!

А он с открытым кодом?
Довольно интересный вариант, но как убедиться что ему можно доверять.

Всё, что попадает в руки комерсантов превращается в тыкву.
главное красивая обёртка, а что там под капотом пофиг, хомячки купят и схавают, серотонин вырабатывается.

За LastPass особенно обидно. А я ему доверял. Хоть и не самые важные пароли, но всякие регистрации на сайтиках.

password store (который работает с "pass: the standard unix password manager") синхронизируется через свой git сервер, и шифрует с запороленным PGP

хотя для обычного юзера это весьма "легко" ;-)

> password store (который работает с "pass: the standard unix password manager") синхронизируется
> через свой git сервер, и шифрует с запороленным PGP
> хотя для обычного юзера это весьма "легко" ;-)

наверно очень удобно использовать его в андроид-телефоне.

после тщательной настройки, все вполне юзабильно.

ccrypt на гугель драйв а пароль 25 знаков в бумажном блокноте тока, какой олень хранит пароли на компе

> ccrypt на гугель драйв а пароль 25 знаков в бумажном блокноте тока,
> какой олень хранит пароли на компе

Вы шифрование свопа и тмп забылЪ. И тмпфс-а. И ту опцию в глибц-е с очисткой памяти. И...

В конце - киянкой по голове для амнезии, чтобы даже под пытками свой пароль никому не сообщил.

Интересно по 1Password. Эти его уязвимости только андроид-версии касаются? Его вебкой вообще не пользуюсь. У меня есть только iOS приложение и Windows stand-alone(не веб-морда!) версия.

Копирование паролей через буфер обмена действительно небезопасно by design. Я придумал альтернативный вариант: cделать KeePassDroid клавиатурным приложением: нужно ввести пароль - переключил тип клавиатуры, разлочил базу, выбрал запись - оно ввело пароль и переключило клавиатуру обратно на нормальну.

Feature request на гитхабе: https://github.com/bpellin/keepassdroid/issues/188. Если у кого-нибудь есть мысли по этому поводу - добро пожаловать в обсуждение.

В keepass2android уже есть.

По названию ждал howto.

Кулхацкеры в треде.
Ждут когда им сделают пошаговый мануал с картинками "Как украсть пароли в андроид"

кто-то считает Андроиды хоть сколько нибудь безопасными? По моему  к 4/5 всех работающих в мире Андроид устройств не выходили никакие обновления! А уж про настройки и закрытости прошивок и напичканности в этих прошивках всяких недокументированных свойств я вообще молчу. На текуoий момент можно считать, что нет никакой безопасности в сотовой связи, рядом она там даже не стояла!

KeePassDroid (KeePass-compatible password safe) - https://f-droid.org/app/com.android.keepass

Что не делают люди лишь бы не использовать PasswdSafe...

По LastPass почитал конкретику - не так всё и плохо. Да если поставил галочку сохранять мастер-пароль (суицид по определению) то его потом можно расшифровать, плюс проблемы с браузером встроенным в LastPass (для меня сюрприз что он там вообще есть!) В принципе не смертельно, но баг конечно довольно детский.