ضعف امنیتی در نرم افزارهای مدیریت رمزعبور

بررسی‌ها نشان می‌دهد که در چهار سرویس از این پنج سرویس، هکر می‌تواند به نام کاربری و رمز عبور سایت‌های دلخواه کاربران دسترسی پیدا کند.

برنامه‌های حفاظت از رمز عبور برای نگهداری ایمن رمزهای عبور ما طراحی شده‌اند البته به شرطی که که خود این برنامه‌ها در مقابل هکرها ایمن باشند! این موضوع مارا به یاد مثلی معروف می اندازد : وای به روزی که بگندد نمک …

تکنـــــــــــــازدانلود: پژوهشگران امنیت آن‌لاین دریافته‌اند که پنج برنامه مدیریت رمز عبور محبوب، خود چندان ایمن نیستند و ممکن است اطلاعات و رمزهای عبور ذخیره شده ما در این برنامه‌ها در دسترس هکرها قرار گیرد. پژوهشگران دانشگاه برکلی در کالیفرنیا با آنچه به صدا در آوردن زنگ خطر برای برنامه نویسان و توسعه دهندگان برنامه‌های مدیریت رمز عبور نامیده‌اند، اعلام کرده‌اند که پنج برنامه محبوب مدیریت رمز عبور دارای آسیب پذیری بحرانی هستند و می‌توانند به هکرها امکان دهند به اطلاعات کاربران ذخیره شده در آن‌ها دسترسی پیدا کنند.

این برنامه ‌ها عبارتند از:

LastPass

RoboForm

My1Login

PasswordBox

NeedMyPassword

به گزارش ریجیستر بنا بر آن‌چه پژوهشگران دانشگاه برکلی اعلام کرده‌اند، بررسی‌های آن‌ها نشان می‌دهد که در چهار سرویس از این پنج سرویس، هکر می‌تواند به نام کاربری و رمز عبور سایت‌های دلخواه کاربران دسترسی پیدا کند.

محققانی از دانشگاه برکلی کالیفرنیا به نام‌های  Warren He ،Dawn Song ،Devdatta Akhawe و Zhiwei Li پژوهشی را پیرامون امنیت نرم‌افزار‌های مدیریت گذرواژه انجام داده‌اند که در نهایت آسیب‌پذیری‌های خطرناکی را در این ۵ نرم‌افزار مدیریت گذرواژه کشف کرده‌اند.

پژوهشگران توانستند آسیب پذیری‌ها را در قابلیت‌های مختلفی این برنامه‌ها همچون «یک بار رمز عبور»، «برجسته سازی‌ها» و «به اشتراک گذاری رمز عبور» شناسایی کنند. آن‌ها همچنین دریافتند ریشه و علت این آسیب پذیری‌ها هم متفاوت و متنوع است. این علت‌ها طیفی از اشتباهات دسترسی و منطقی تا درک نادرست از مدل امنیتی وب‌سایت را شامل می‌شوند. به این‌ها باید آسیب پذیری‌های معمول همچون درخواست سایت متقابل جعلی CSRF و برنامه نویسی سایت متقابل XSS را هم اضافه کرد.

برای نمونه یک آسیب‌پذیری در برنامه مدیریت رمز عبور LastPass می‌تواند موجب شود یک درصد از کاربران در خطر سرقت نام کاربری و رمز عبور حساب بانکی خود قرار گیرند چون با جعل آدرس وب‌سایت بانک، کاربر به خطا اطلاعات خود را وارد وب‌سایت قلابی می‌کند.

آسیب پذیری CSRF نیز می‌تواند روی قابلیت «یک بار رمز عبور» برنامه LastPass تاثیر بگذارد. این آسیب پذیری ممکن است به هکرها امکان دهد دریابند چه اپلیکیشن‌ها و دستگاه‌هایی از این برنامه مدیریت رمز عبور استفاده می‌کنند و سپس کل کیف رمزگذاری شده اطلاعات کاربر را از برنامه به سرقت ببرند و سابقه آن را هم از برنامه پاک کنند.

آسیب‌پذیری‌ XSS موجود در نرم‌افزار NeedMyPassword ممکن است در نهایت برای مهاجم امکان کنترل کامل حساب کاربری قربانی را فراهم کند، اما آسیب‌پذیری‌های LastPass و RoboForm، امکان به‌‌روز‌سانی، حذف، و اضافه کردن شناسه‌ها و گذرواژه‌های مخرب را در حساب کاربری قربانی برای مهاحم ایجاد می‌کنند.

هدف این پژوهش هشدار به برنامه نویسان برای رفع ایرادهای امنیتی برنامه‌ها و به کاربران برای احتیاط بهتر در استفاده از این برنامه‌ها است.

توصیه ITSN به کاربران این است که تا حد امکان از نسخه ای تحت وب این نرم افزارها استفاده نکنند و به سراغ نسخه های قابل نصب بروی سیستم عامل ها بروند.