密碼管理軟件是什么？ 

密碼管理軟件是一種能夠創建、儲存、管理你所有網站、應用的密碼的軟件。有些管理軟件甚至還有填表功能，能夠在你訪問那些網站時，自動幫你填寫用戶名和密碼。如此看來，密碼管理器確實幫我們解決了很多麻煩，但是你有想過如果密碼管理器本身存在安全風險，后果會如何嗎？

當然，上面的問題并不僅僅是一個假設，根據一項新的報告顯示，一些主流密碼管理器自身存在關鍵漏洞，會暴露用戶隱私。

近日， Fraunhofer德國信息安全技術研究中心TeamSIK安全小組發布的一份報告稱，在Google Play上發現9款流行的Android密碼管理器可能會受到一個或多個安全漏洞影響。

主流Android密碼管理器受到一個或多個安全漏洞影響 

該安全團隊對LastPass、Keeper、1Password、My Passwords、Dashlane 密碼管理器、Informaticore密碼管理器、F-Secure KEY、Keepsafe以及Avast Passwords 9款密碼管理器進行了檢查，這些密碼管理器的安裝量都在10萬—5000萬之間，一旦存在安全問題，覆蓋范圍可想而知。

研究人員表示，每一款應用程序中都包含一個或多個安全漏洞，共計在這9款密碼管理器中發現26個安全漏洞。目前所有檢測出的漏洞結果都已經報告給了應用程序制造商。

主密鑰的加密密鑰硬編碼在應用程序的代碼中

根據該安全團隊所言，一些密碼管理器應用程序非常容易遭受數據殘留攻擊和剪貼板嗅探（clipboard sniffing）。一些應用程序將主密碼存儲為純文本或是直接在應用程序代碼中暴露出加密密鑰。

例如一個影響Informaticore密碼管理器的高危漏洞，就是由于該應用程序將主密碼的加密密鑰硬編碼在應用程序的代碼中，類似的漏洞同樣存在于LastPass密碼管理器中。事實上，在某些情況下，用戶存儲的密碼很容易被安裝在用戶設備中的任意惡意軟件所訪問和泄漏。

除了上述問題，研究人員還發現，在大多數密碼管理器應用程序中的自動功能可以通過“隱藏網絡釣魚”攻擊的方式，被攻擊者用于竊取存儲的隱私數據。

而最令人擔憂的情況是什么呢？研究人員發現的大部分漏洞都可以被任意攻擊者輕易地利用而不需要獲取root權限。

脆弱的密碼管理器及影響它們的漏洞

以下是TeamSIK安全團隊發現的一些主流Android密碼管理器中存在的漏洞：

MyPasswords密碼管理器：

讀取MyPasswords應用程序私人數據；

主密碼的加密密鑰硬編碼在應用程序的代碼中；

免費的高級功能解鎖MyPasswords；

1Password密碼管理器：

在1Password內部瀏覽器中子域名密碼泄漏；

在1Password內部瀏覽器中默認將HTTPS降級為HTTP鏈接；

1Password數據庫中標題和鏈接不加密；

從應用程序文件夾中讀取私人數據；

將隱私問題，信息泄漏給1Password密碼管理器供應商；

LastPass密碼管理器：

主密鑰硬編碼在LastPass密碼管理器應用程序中；

隱私，數據泄漏；

從LastPass密碼管理器中讀取私人數據（存儲的主密碼）；

Informaticore密碼管理器：

不安全的憑證存儲；

Keeper密碼管理器：

安全問題繞過；

沒有主密碼的情況下進行數據注入；

Dashlane密碼管理器：

從應用程序文件夾中讀取私人數據；

谷歌搜索信息泄漏；

數據殘留攻擊；

Dashlane內部瀏覽器中子域名密碼泄漏；

F-Secure KEY密碼管理器：

不安全的憑證存儲； 

Keepsafe密碼管理器：

密碼明文存儲； 

Avast密碼管理器：

從Avast密碼管理器中竊取應用程序密碼；

默認將HTTPS降級為HTTP鏈接；

破損的安全通信實現；

目前各供應商已經解決了所有安全問題，建議所有用戶盡快更新自己的密碼管理器應用程序，因為現在黑客已經掌握了所有密碼管理器存在的安全漏洞情況，隨時可能發起進一步攻擊。