Análisis de seguridad de los 'password managers' más populares para Android

Ya sabéis que reutilizar la misma contraseña en más de un sitio es totalmente desaconsejable, así como usar un pseudo-algoritmo para realizar variaciones de la misma que sea fácilmente adivinable. Ésto hace que hoy en día sea totalmente indispensable el uso de aplicaciones de administración de contraseñas ('password managers') que almacenen de forma segura nuestras múltiples contraseñas, normalmente accesibles mediante una contraseña maestra. Además, estos 'passwords managers' tienen que ser preferiblemente muy accesibles para poder consultar en cualquier momento cualquier contraseña por lo que, como podéis imaginar, en los últimos años han aflorado un montón de aplicaciones de este tipo para smarphones, sobretodo para Android.

Y al hilo de esto hoy os traemos un interesantísimo análisis de seguridad de los 'password managers' para Android más populares del momento realizado por TeamSIK (Security Is Key) – un grupo de gente interesada en la seguridad TI del Fraunhofer Institute for Secure Information Technology (Darmstadt, Alemania). 

Para el estudio han cogido las aplicaciones más descargadas del Google Play Store y los resultados generales fueron extremadamente preocupantes y revelaron que las aplicaciones de administración de contraseñas, a pesar de sus afirmaciones, no proporcionan suficientes mecanismos de protección para las contraseñas y credenciales almacenadas. En su lugar, abusan de la confianza de los usuarios y los exponen a riesgos elevados.

En definitiva encontraron varios fallos de implementación que derivaron en serias vulnerabilidades de seguridad. Algunas aplicaciones almacenaban la contraseña maestra en texto plano o implementaban claves de cifrado "hardcodeadas" en el código. En consecuencia, los atacantes podían fácilmente eludir el algoritmo de cifrado en conjunto y por lo tanto obtener acceso a todos los datos del usuario. 
En otros casos, podían simplemente acceder a todas las "contraseñas/credenciales protegidas de forma segura" con la ayuda de una aplicación adicional. Una vez instalada en el dispositivo, esta aplicación maliciosa extraía todas las contraseñas/credenciales en claro y las enviaba al atacante. En otro caso, podían usar un ataque denominado de residuo de datos para acceder a la clave maestra de una aplicación. 

En la mayoría de los casos, no se necesitaban permisos de root para realizar un ataque con exito que diera acceso a información sensible como la contraseña maestra mencionada anteriormente. Además, muchas de las aplicaciones ignoraban por completo el problema del "sniffer" del portapapeles, lo que significa que no hay limpieza del portapapeles después de que se hayan copiado las credenciales.

Si bien esto demuestra que incluso las funciones más básicas de un gestor de contraseñas suelen ser vulnerables, estas aplicaciones también proporcionan características adicionales, lo que puede afectar de nuevo a la seguridad. Encontraron que, por ejemplo, las funciones de auto-completado para aplicaciones podían ser abusadas para robar las claves almacenadas de la aplicación del administrador de contraseñas usando ataques de "phishing oculto". Y, para un mejor soporte de autocompletado de contraseñas en formularios, algunas de las aplicaciones proporcionan sus propios navegadores web que también son una fuente adicional de vulnerabilidades, como la fuga de privacidad.

Todas las 26 vulnerabilidades (supuestamente ya corregidas) se proporcionan en detalle a continuación:

MyPasswords (App-Link)
Informaticore Password Manager (App-Link)
LastPass Password Manager (App-Link)
Keeper Passwort-Manager (App-Link)
F-Secure KEY Password Manager (App-Link)
Dashlane Password Manager (App-Link)
Hide Pictures Keep Safe Vault (App-Link)
Avast Passwords (App-Link)
1Password – Password Manager (App-Link)
Fuente: https://team-sik.org/trent_portfolio/password-manager-apps/

18 comentarios :

  1. Hace tiempo llegué a la conclusión de que usando una contraseña por login lo mejor es tener cuantos menos login mejor, por eso soy reacio a registrarme en servicios, foros y demás. A menos logins menos passwords.
    Además así minimizamos el riesgo a ser dumpeados en otra base de datos para poder estudiar nuestro pseudoalgoritmo.
    Aprovecho para daros las gracias por mantener la opción de comentar como Anónimo. En la mayoría de sitios ya no somos bienvenidos. Casualmente en los más cercanos a los Big Data...

    ResponderEliminar
  2. En realidad los password managers son una buena utilidad cómo dices; ¿pero usarlos para almacenar TODOS los passwords en algún sitio? Yo no soy partidario de utilizar estas aplicaciones porque luego pasa lo que pasa.

    Creo que es mejor tener una contraseña en función de servicio; del estilo de MI_CONTRASEÑA_ROBUSTA_FACEB00K, MI_CONTRASEÑA_ROBUSTA_GM4IL o similares; añadiendo siempre alguna modificación al nombre del servicio.

    Pueden llegar a ser muchas contraseñas, pero si las creamos con un patrón que sólo nosotros sepamos no llegan a ser tantas. Es importante que nuestro patrón no sea muy muy evidente ;)

    ResponderEliminar
  3. Hola,

    Estoy desarrollando un gestor basado en un concepto distinto... ¿Podrías echarle un vistazo y me cuentas algo? (está en beta y no quiero sacarlo hasta que sea 100% seguro).

    nomorepass.com

    Gracias

    ResponderEliminar
    Respuestas
    1. Por Dios. ¿Un QR por pantalla como "procedimiento imposible de interceptar? Supongo que estás de vacile.

      Eliminar
    2. No, ¿sabrías tu qué hacer con eso? Me parece que hablas demasiado rápido. Si quieres te explico el sistema, o si lo prefieres tu, me explicas cómo conseguir mis passwords sin robarme el movil y cortarme un dedo.

      Eliminar
  4. Que sí, Jose Antonio. Que es un procedimiento imposible de interceptar.
    Yo paso de usar tu herramienta.

    ResponderEliminar
  5. Anda, no sabía que había trolls por aquí, bueno, ya nos has informado. Ahora, si quieres, nos explicas qué crees que pasa con el qr y qué tiene eso que ver con los passwords (aunque ya vemos que mucha idea no tienes)... Ni siquiera para dejar tu nombre en los comentarios.

    ResponderEliminar
    Respuestas
    1. El que se ve que no tiene ni idea eres tú, camepón. Tu mierda de aplicación no es mejor que KeePass, donde tienes el control de la bbdd y accedes sin tanta consulta POST ni tanta chorrada de QR.
      Tienes una superficie de ataque enorme y tienes una bocaza demasiado grande como para admitir que no es tan seguro como lo intentas vender.

      Eliminar
    2. Venga, dime un posible ataque, uno solo...

      Eliminar
    3. Vas de latchero por la vida. ¿Crees haber inventado algo?

      Eliminar
  6. latchero? Latch no tiene nada que ver, ni se parece ni lo intenta, ¿algo más Anónimo?

    ResponderEliminar
  7. Deja de afirmar paridas y publica el código fuente.

    ResponderEliminar
    Respuestas
    1. Pero si no eres capaz ni de publicar un nick para los comentarios, ¿para qué quieres el código fuente? Yo colaboro habitualmente con la comunidad de software libre, pero como este es un proyecto personal no he necesitado hacerlo público todavía... Pero eso no afecta a la seguridad del sistema.

      Eliminar
    2. Vienes haciendo Spam de tu proyecto a código cerrado diciendo que es imposible de interceptar una vez en el sistema.
      Si ni siquiera eliminas los archivos de instalación de WordPress menos espero aún que limpies la RAM después de tanto POST, tanto ticket y tanto token. Decir que algo es "IMPOSIBLE DE INTERCEPTAR" es no tener ni puta idea y tener la boca más grande que la espalda. El heartbleed cerró muchas bocas, pero se ve que tú no aprendes.

      Eliminar
  8. Para estar en Galicia hablas demasiado en imperativo, ¿sabes lo que son los honeypots? Y si, me da igual que uses tor, todo es rastreable. Si tienes algo que decir de la seguridad del sistema, dilo, sino paso.

    ResponderEliminar
    Respuestas
    1. Que sí, Jose Antonio, que tú desenmascaras a la gente que se conecta vía Tor, tu gestor de contraseñas es INFALIBLE y ERES UN CRACK.
      Un besito, campeón. Haz algo más productivo que spam por los blogs.

      Eliminar
  9. Ha sido un placer, hacía tiempo que no encontraba un lammer tan entretenido. Sigue practicando tus habilidades de troll, algún día llegarás. Yo ya hago cosas productivas, solo esperaba que hubiese alguien que supiese de seguiridad por aquí para ayudarme a mejorar el producto, una pena encontrarme con esto.

    ResponderEliminar
    Respuestas
    1. A mi me ha gustado la forma de enviar los passwords, encriptados con una clave única y sin almacenarse en ningún sitio en la nube.. Quizá habrá que mirar mejor como se guardan en el teléfono, pero me parece buena idea.

      Eliminar