Wachtwoordmanagers Keeper, Dashlane, LastPass en 1Password onveilig op Android smartphones. Hackers kunnen de apps eenvoudig manipuleren

De wachtwoordmanagers Keeper, Dashlane, LastPass en 1Password blijken op Android smartphones gemakkelijk te kunnen worden misleid door hackers. De wachtwoordmanagers blijken het moeilijk te vinden om onderscheid te maken tussen legitieme en nep apps.

Dit blijkt uit een onderzoek van onderzoekers van de Universiteit van Genua en het Franse beveiligingsbedrijf Eurecom, getiteld “Phishing attacks on modern Android“.

Wachtwoordmanagers wel veilig op desktopcomputer, niet op Android smartphone

De onderzoekers ontdekten dat de wachtwoordmanagers, die oorspronkelijk werden ontwikkeld voor desktopbrowsers, niet zo veilig zijn op Android smarphones als op desktopcomputers.

De reden hiervoor is dat ze mogelijk logingegevens die voor een website op het mobiele apparaat zijn opgeslagen aan een verkeerde app toewijzen.

Veel wachtwoordmanagers gebruikten alleen de naam van het installatiepakket van de app voor de opdracht.

De namen van de pakketten zijn niet betrouwbaar en kunnen gemakkelijk vervalst worden door fraudeurs.

Kwaadaardige app kan wachtwoordmanager misleiden

Dit leidt tot situaties waarin een kwaadaardige app een mobiele wachtwoordmanager kan misleiden om hem te associëren met een legitieme website.

Screenshots zouden moeten bewijzen dat in tests valse Facebook-apps van verschillende wachtwoordbeheerders in staat waren om de inloggegevens voor het sociale netwerk op te halen.

In de praktijk zouden de getoonde nep-apps blootgelegd worden, maar de onderzoekers benadrukken dat voor echte aanvallen de nep-apps zo ontworpen zouden zijn dat ze niet te onderscheiden zouden zijn van de echte versies.

Keeper, Dashlane, LastPass en 1Password, vroegen hun gebruikers tijdens de tests om hun referenties in te voeren in valse apps

De onderzoekers onderzochten in totaal vijf wachtwoordmanagers. Vier van hen, Keeper, Dashlane, LastPass en 1Password, vroegen hun gebruikers tijdens de tests om hun referenties in te voeren in valse apps.

In Google’s smart lock app bleek de truc met nep-pakket niet te werken. Google smart lock app maakt gebruik van het systeem Digital Asset Links waarmee de authenticiteit van de apps geverifiëerd wordt voor een verbinding tot stand te gebracht wordt.

Wachtwoordmanagers negeren typische phishingsignalen

De onderzoekers bekritiseren in hun onderzoek dat wachtwoordmanagers bepaalde verdachte app-gedragingen die typisch zijn voor phishing lijken te negeren.

Zij voeren de inloggegevens in formulieren in met een transparantie-instelling van 0,01, waardoor de formulieren bijna onzichtbaar zijn.

Formulieren die dezelfde kleur gebruiken voor voorgrond en achtergrond en daardoor bijna onzichtbaar zijn, worden ook bediend. Dit geldt ook voor formulieren die slechts 1 x 1 pixel groot zijn.

Daarnaast werkten de wachtwoordmanagers met instant apps, die eigenlijk alleen voor korte tijd en voor testdoeleinden worden geïnstalleerd.

Volgens de onderzoekers moeten instant apps echter niet worden ondersteund of geclassificeerd als onbetrouwbaar, omdat ze alleen bedoeld zijn voor tijdelijk gebruik.

Voorstellen om veiligheid van wachtwoordmanagers te verbeteren

Om de veiligheid van wachtwoordmanagers te verbeteren, stellen onderzoekers voor dat app-ontwikkelaars in hun apps links naar digitale activa opnemen, die vervolgens door wachtwoordmanagers kunnen worden gebruikt.

Ze hebben Google ook voorzien van een programmeerinterface (API) waarmee leveranciers van wachtwoordmanagementsystemen Digital Asset-links kunnen opvragen om de authenticiteit van apps in hun producten te verifiëren.

Of Google de API zal integreren in Android OS is nog niet bekend.

Meer actueel awareness nieuws