Password manager Android vulnerabili secondo il Fraunhofer Institute

Ormai dovrebbe essere nota l’importanza di generare una password lunga e complessa: ne abbiamo parlato nell’articolo Come scegliere e memorizzare password: World Password Day.

Il problema, però, riguarda le modalità per la gestione e la conservazione delle password. Per questo motivo, con l’obiettivo di garantire un livello di sicurezza aggiuntivo, molti servizi consentono di attivare l’autenticazione a due fattori.

Google ha introdotto un eccellente sistema per l’autenticazione facilitata chiamato Messaggio di Google: Accedere a Google in sicurezza da più dispositivi e da qualche tempo si possono usare anche le chiavette FIDO U2F: Facebook: login senza password con le chiavette FIDO U2F.

Non tutti i servizi, però, permettono di usare meccanismi di autenticazione a due fattori e la memorizzazione corretta delle password resta un bel problema: vedere anche l’articolo Gestione password: come farlo in sicurezza.

Il Fraunhofer Institute ha ad esempio appena rilevato diverse vulnerabilità in molteplici applicazioni Android usate per memorizzare le password.
L’istituto tedesco cita le falle di sicurezza scoperte in ben nove applicazioni (vedere questa pagina per una completa disamina).

In alcuni casi, la software house sviluppatrice dell’app utilizzava una chiave master inserita (hardcoded) nel codice dell’applicazione oppure, mediante attacchi mirati, rendevano possibile la sottrazione della password master da parte di terzi.

Le app rilevati vulnerabili dal Fraunhofer Institute sono le seguenti: LastPass Password Manager, MyPasswords, 1Password, Informaticore Password Manager, Keeper Gestione password, F-Secure KEY Password Manager, Dashlane Password Manager, Hide Pictures Keep Safe Vault e Avast Passwords.

Fortunatamente, gli sviluppatori dei vari password manager sono già intervenuti per sanare tutte le falle di sicurezza.
Il consiglio è, a questo punto, quello di assicurarsi di utilizzare la versione più aggiornata dei password manager evitando possibilmente quelli che memorizzano le proprie credenziali su server remoti.
Negli articoli Backup Android, come funziona e come crearlo (al paragrafo Sincronizzazione Chrome: non è indispensabile attivarla. Smart Lock per password) e Sincronizzare Chrome, cosa significa accedere ai dati da più dispositivi abbiamo visto come disattivare la sincronizzazione delle password online sia su Chrome che su Android.