TeamSIK กลุ่มวิจัยความปลอดภัยจาก Fraunhofer Institute for Secure Information Technology เข้าตรวจสอบความปลอดภัยของแอปเก็บรหัสผ่านยอดนิยม 7 รายการ พบว่าแอปทั้งหมดมีช่องโหว่หนักเบาต่างกันไป

ช่องโหว่เหล่านี้ส่วนมากถือว่าแอปเก็บรหัสผ่านต้องช่วยปกป้องผู้ใช้แม้จะไม่ล็อกเครื่อง หรือยกเครื่องให้ผู้อื่นใช้งาน หรือแม้แต่ทำข้อมูลส่วนตัวของผู้ใช้หลุดออกไปเช่นการรายงาน URL ที่ผู้ใช้เพิ่มรหัสผ่าน หลายแอปเทียบ URL ผิดพลาดทำให้เติมรหัสผ่านอัตโนมัติทั้งที่เป็นคนละโดเมนกัน

จุดที่พลาดเหมือนกันเช่น การอิมพลีเมนต์เบราว์เซอร์ไว้ในตัวแอปเก็บรหัสผ่านแล้วทำผิดพลาด เช่น ไม่ยอมเข้ารหัสเมื่อเชื่อมต่อไปยังกูเกิล, หรือเปิดให้เบราว์เซอร์อ่านไฟล์เฉพาะที่ไม่ควรอ่านออกมาได้โดยตรง

MyPasswords

• SIK-2016-019: ช่องโหว่จาก HTML viewer ทำให้ผู้ที่มีเครื่องในมือสามารถเข้าอ่านข้อมูลของตัวแอปได้ในเวอร์ใน 4.5 HTML viewer ไม่มีในเวอร์ชั่นล่าสุดแล้วจึงไม่มีปัญหา
• SIK-2016-020: กุญแจหลักถูกเข้ารหัสไว้อ่อนแอ ทำให้สามารถใช้ช่องโหว่ SIK-2016-019 อ่านกุญแจและล็อกอินเอารหัสผ่านทั้งหมดได้
• SIK-2016-043: ไม่ใช่ช่องโหว่สำหรับผู้ใช้ แต่เป็นช่องโหว่อัพเกรดไปใช้รุ่นเสียเงินฟรี

Informaticore Password Manager

• SIK-2016-021: กุญแจเข้ารหัสรหัสผ่านหลักเหมือนกันทุกเครื่อง ทำให้ถอดรหัสกลับออกมาได้โดยง่าย (ต้องเข้าถึงตัวเครื่องได้)

LastPass Password Manager

• SIK-2016-022: กุญเข้ารหัสผ่านหลักใช้กุญแจเหมือนกันทุกเครื่อง
• SIK-2016-023: เบราว์เซอร์ในตัวเชื่อมต่อกูเกิลโดยไม่เข้ารหัส
• SIK-2016-024: ผู้ใช้เครื่องสามารถผ่านรหัสผ่านหลักออกมาได้จากเบราว์เซอร์ บนเครื่องที่ใช้ Android 4.1 ลงไป

Keeper Password-Manager

• SIK-2016-025: ข้ามการยืนยันตัวตนด้วยคำถามเพิ่มเติมเมื่อสั่งรีเซ็ตรหัสผ่าน ต้องเข้าถึงเครื่องโดยตรงและเข้าถึงอีเมลผู้ใช้
• SIK-2016-026: เพิ่มรหัสผ่านในฐานข้อมูลได้ ต้องเข้าถึงเครื่องโดยตรงและเข้าถึงอีเมลผู้ใช้

F-Secure KEY Password Manager

• SIK-2016-027: เซฟรหัสผ่านหลักไว้ในเครื่องเสมอ แม้จะเลือกไม่เซฟรหัสผ่านเอาไว้

Dashlane Password Manager

• SIK-2016-028: เบราว์เซอร์ในตัวสามารถอ่านไฟล์เฉพาะของแอปได้
• SIK-2016-029: เชื่อมต่อกูเกิลโดยไม่เข้ารหัส
• SIK-2016-030: หลังการถอนแอป ตัวแอปไม่ยอมลบข้อมูลใน AccountManager ทำให้แอปอื่นสวมรอยมาดูดข้อมูลได้ รหัสผ่านที่เก็บไว้ถอดรหัสได้ง่าย
• SIK-2016-031: ตัวเติมรหัสผ่านเติมผิด subdomain ได้

Hide Pictures Keep Safe Vault

• SIK-2016-032: รหัสผ่านหลักเก็บไว้ในไฟล์ preference เข้าถึงได้หากมี root

Avast Passwords

• SIK-2016-033: ระบบเติมรหัสผ่านอัตโนมัติตรวจสอบชื่อแพ็กเกจเพียงบางส่วน เปิดโอกาสให้สร้างแอปมาขโมยรหัสผ่านจากแอปอื่น
• SIK-2016-035: เทมเพลตรหัสผ่านใช้ URL เป็น http แทน https
• SIK-2016-037: การเชื่อมต่อกับเซิร์ฟเวอร์ใช้ HTTP ที่ข้อความภายในเข้ารหัส แต่ถอดรหัสได้โดยง่าย

1Password

• SIK-2016-038: ตัวเติมรหัสผ่านแยก subdomain ไม่ออก หลอกเอารหัสผ่านจาก subdomain อื่นได้
• SIK-2016-039: เบราว์เซอร์เชื่อมต่อผ่าน HTTP หากไม่ได้ระบุว่าเป็น HTTPS (ข้อนี้ผมงงๆ ว่ามันเป็นช่องโหว่ด้วยหรือ?)
• SIK-2016-040: ข้อมูลชื่อเว็บและ URL ไม่เข้ารหัสไว้ในฐานข้อมูล
• SIK-2016-041: เบราว์เซอร์ในตัวสามารถอ่านไฟล์เฉพาะของแอปได้
• SIK-2016-042: ส่ง URL ของเว็บที่กำลังเพิ่มรหัสผ่านกลับไปยังเซิร์ฟเวอร์เสมอ

ตอนนี้ TeamSIK ระบุว่าช่องโหว่ทั้งหมดถูกแก้ไขแล้ว ทุกคนที่ใช้งานควรตรวจสอบการอัพเดต มีช่องโหว่ของ Avast สองช่องที่ยังไม่เปิดเผยออกมา

ที่มา - TeakSIK, The Register