Análisis de seguridad de los 'password managers' más populares para Android

Hoy en día sea totalmente indispensable el uso de aplicaciones de administración de contraseñas ('password managers') que almacenen de forma segura nuestras múltiples contraseñas, normalmente accesibles mediante una contraseña maestra. Además, estos 'passwords managers' tienen que ser preferiblemente muy accesibles para poder consultar en cualquier momento cualquier contraseña por lo que, como podéis imaginar, en los últimos años han aflorado un montón de aplicaciones de este tipo para smarphones, sobretodo para Android.

Y al hilo de esto hoy os traemos un interesantísimo análisis de seguridad de los 'password managers' para Android más populares del momento realizado por TeamSIK (Security Is Key) – un grupo de gente interesada en la seguridad TI del Fraunhofer Institute for Secure Information Technology (Darmstadt, Alemania).

Para el estudio han cogido las aplicaciones más descargadas del Google Play Store y los resultados generales fueron extremadamente preocupantes y revelaron que las aplicaciones de administración de contraseñas, a pesar de sus afirmaciones, no proporcionan suficientes mecanismos de protección para las contraseñas y credenciales almacenadas. En su lugar, abusan de la confianza de los usuarios y los exponen a riesgos elevados.

En definitiva encontraron varios fallos de implementación que derivaron en serias vulnerabilidades de seguridad. Algunas aplicaciones almacenaban la contraseña maestra en texto plano o implementaban claves de cifrado "hardcodeadas" en el código. En consecuencia, los atacantes podían fácilmente eludir el algoritmo de cifrado en conjunto y por lo tanto obtener acceso a todos los datos del usuario.

En otros casos, podían simplemente acceder a todas las "contraseñas/credenciales protegidas de forma segura" con la ayuda de una aplicación adicional. Una vez instalada en el dispositivo, esta aplicación maliciosa extraía todas las contraseñas/credenciales en claro y las enviaba al atacante. En otro caso, podían usar un ataque denominado de residuo de datos para acceder a la clave maestra de una aplicación.

En la mayoría de los casos, no se necesitaban permisos de root para realizar un ataque con exito que diera acceso a información sensible como la contraseña maestra mencionada anteriormente. Además, muchas de las aplicaciones ignoraban por completo el problema del "sniffer" del portapapeles, lo que significa que no hay limpieza del portapapeles después de que se hayan copiado las credenciales.

Si bien esto demuestra que incluso las funciones más básicas de un gestor de contraseñas suelen ser vulnerables, estas aplicaciones también proporcionan características adicionales, lo que puede afectar de nuevo a la seguridad. Encontraron que, por ejemplo, las funciones de auto-completado para aplicaciones podían ser abusadas para robar las claves almacenadas de la aplicación del administrador de contraseñas usando ataques de "phishing oculto". Y, para un mejor soporte de autocompletado de contraseñas en formularios, algunas de las aplicaciones proporcionan sus propios navegadores web que también son una fuente adicional de vulnerabilidades, como la fuga de privacidad.

Todas las 26 vulnerabilidades (supuestamente ya corregidas) se proporcionan en detalle a continuación:

MyPasswords (App-Link)

Informaticore Password Manager (App-Link)