Annonse


Passord-programmer har grove feil

Mange av oss bruker en app eller et PC-program for å holde styr på alle passord, brukernavn og PIN-koder.

Utrygt liv
Men kommer noen inn der, har de tilgang til så å si hele livet vårt. 

Både banken, betalingskortene, kontoer på sosiale nettverk, nettbutikk-kontoer og tilgangene til systemene på jobben vil dermed være utrygge.

Bakdør ikke oppdaget
Selve skrekkscenarioet er at de som står bak passord-appen har lagt inn bakdør, slik at de lagrer opplysningene dine med tanke på senere misbruk.

Annonse


Noe slikt har heldigvis ikke blitt oppdaget så langt. De fleste passord-apper som du laster ned fra Apples App Store eller Google Play er etter alt å dømme hva de gir seg ut for å være, og dermed trygge.

Seks stykker undersøkt
Men teknisk sikre, det er de ikke alltid. I hvert fall ikke dersom de i tillegg til app også brukes i nettleseren 

Forskerne Ziwei Hi, Warren He, Devdatta Akhawe og Dawn Song ved Berkeley-universitetet i California tok for seg seks av de mest populære passordprogrammene: LastPassRoboFormMy1LoginPasswordBox og NeedMyPassword.

Knusende konklusjon
I forskernes rapport, som bærer den ironiske tittelen «Keiserens nye passord-manager», er konklusjonen knusende:

– Vi fant kritiske sårbarheter i samtlige av passord-programmene. Og i fire av dem kan en angriper stjele tilfeldige innloggingsopplysninger fra brukerens konto, heter det blant annet.

Gjelder bare nettleser-versjoner
Det må understrekes at rapporten bare gjelder den delen av passord-programmene som er kjører i nettleseren, og ikke selve appen du bruker på mobil eller nettbrett.

I ett av tilfellene (LastPassSafe, med Safari på iPhone)  dreier det seg om feil tilknyttet Java, slik vi tidligere blant annet har sett med BankID her hjemme.

Ikke én enkelt løsning
I andre tilfeller er det snakk om CSRF (cross site request forgery) XSS (cross site scripting) og Javascript gjennom bookmarklets.

Feilene er imidlertid mange og ulike, og forskerne klarer ikke å peke på én felles løsning som kan løse problemene for alle passord-managerene de har testet.

Ifølge nettstedet Tom’s Guide er de omtalte feilene rettet i alle programmene unntatt NeedMyPassword.

Oppdatert 16/7-2014 kl. 14:20

Kilder:
University of California
The Register

Annonse