「1Password」や「LastPass」など9つの人気パスワードマネージャーに情報漏えいのリスクがあると報じられる - GIGAZINE

(情報元のブックマーク数

クリップボードスニッフィング?!クリップボード経由でやり取りされてるの?!後暗号鍵とかハードコードとか・・・・

ドイツのセキュリティ関連の研究所であるFraunhofer SITのTeamSIKに所属するセキュリティ研究者が、Google Playで10万回から5000万回インストールされている人気の高いパスワードマネージャーアプリ「LastPass」「Keeper」「1Password」「My Passwords」「Dashlane Password Manager」「Password Manager」「F-Secure KEY」「Keepsafe」「Avast Passwords」の9つをテストしました。その結果、TeamSIKは9つのアプリで合計26件の脆弱性を発見し、それぞれ1つ以上の脆弱性を持つことが明らかになっています。
By Blue Coat Photos
TeamSIKによると、いくつかのパスワードマネージャーアプリはデータ残存攻撃やクリップボードスニッフィングに対して脆弱であることが判明。アプリの中にはマスターパスワードがプレーンテキストで保存されているものや、アプリのコード内に暗号化キーが書かれているものも存在しました。中でも重要度の高い脆弱性のひとつが、Informaticore開発のPassword Managerアプリで発見されたもので、「アプリのコードに暗号化キーがハードコードされた状態なため、暗号化されたマスターパスワードを比較的簡単に解読できる」というもの。同様の脆弱性LastPassでも発見されています。

「1Password」や「LastPass」など9つの人気パスワードマネージャーに情報漏えいのリスクがあると報じられる - GIGAZINE

screenshot