‘Wachtwoordmanagers op Android waren niet goed beveiligd’

Een Duitse onderzoeksgroep met de naam TeamSIK meldt dat een aantal wachtwoordmanager apps voor Android niet goed genoeg beveiligd was. Het idee achter die apps is eenvoudig. Gevoelige wachtwoorden worden opgeslagen en versleuteld. Maar de beveiliging daarvan blijkt niet altijd op orde.

De onderzoekers melden dat ze een veiligheidsanalyse uitvoerden op de meest populaire wachtwoordmanager apps voor Android. De resultaten daarvan waren “extreem zorgelijk en lieten zien dat de apps, ondanks hun claims, niet voldoende bescherming bieden voor de opgeslagen wachtwoorden. In plaats daarvan misbruiken ze het vertrouwen van hun gebruikers en stellen ze hen bloot aan hoge risico’s.”

De onderzoekers vonden enkele grote kwetsbaarheden binnen de apps. Zo werd het wachtwoord waarmee de apps geopend konden worden vaak opgeslagen als een gewone tekst. En encryptiesleutels werden in sommige gevallen in de programmeercode verwerkt, waardoor die eenvoudig te kraken waren. In nog een ander geval kon er eenvoudig van een andere app gebruikt gemaakt worden om de wachtwoorden te openen.

De onderzoekers bekeken de negen populairste apps bekeken: My Passwords, Informaticore Password Manager, LastPass, Keeper, F-Secure KEY, Dashlane, Hide Pictures Keep Safe Vault, Avast Passwords en 1Password. Bij elk van de bekeken apps, troffen ze een of meer kwetsbaarheden aan. Die zijn allemaal gerapporteerd aan de makers en zouden allemaal ook opgelost zijn voordat het onderzoek gepubliceerd werd.