對于你的電腦、電子郵件和信息而言，確保你的密碼安全是抵抗黑客攻擊的第一道防線。而為了讓大家生成足夠復(fù)雜足夠安全的密碼的同時又省去記憶的煩惱，密碼管理軟件便應(yīng)運而生了。

本文總結(jié)了9款熱門密碼管理應(yīng)用可能正在泄露你的隱私數(shù)據(jù)，2017年還有什么是安全的嗎？答案很可能是否定的！

什么是密碼管理軟件呢？ 

密碼管理軟件是一種能夠創(chuàng)建、儲存、管理你所有網(wǎng)站、應(yīng)用的密碼的軟件。有些管理軟件甚至還有填表功能，能夠在你訪問那些網(wǎng)站時，自動幫你填寫用戶名和密碼。如此看來，密碼管理器確實幫我們解決了很多麻煩，但是你有想過如果密碼管理器本身存在安全風(fēng)險，后果會如何嗎？

當(dāng)然，上面的問題并不僅僅是一個假設(shè)，根據(jù)一項新的報告顯示，一些主流密碼管理器自身存在關(guān)鍵漏洞，會暴露用戶隱私。

近日， Fraunhofer德國信息安全技術(shù)研究中心TeamSIK安全小組發(fā)布的一份報告稱，在Google Play上發(fā)現(xiàn)9款流行的Android密碼管理器可能會受到一個或多個安全漏洞影響。

主流Android密碼管理器受到一個或多個安全漏洞影響 

該安全團(tuán)隊對LastPass、Keeper、1Password、My Passwords、Dashlane 密碼管理器、Informaticore密碼管理器、F-Secure KEY、Keepsafe以及Avast Passwords 9款密碼管理器進(jìn)行了檢查，這些密碼管理器的安裝量都在10萬—5000萬之間，一旦存在安全問題，覆蓋范圍可想而知。

TeamSIK表示：檢測的總體結(jié)果非常令人擔(dān)憂，盡管這些密碼管理器應(yīng)用程序都聲稱會為密碼存儲和用戶憑證提供足夠的保護(hù)機(jī)制，但是結(jié)果并非如此。

研究人員表示，每一款應(yīng)用程序中都包含一個或多個安全漏洞，共計在這9款密碼管理器中發(fā)現(xiàn)26個安全漏洞。目前所有檢測出的漏洞結(jié)果都已經(jīng)報告給了應(yīng)用程序制造商。

主密鑰的加密密鑰硬編碼在應(yīng)用程序的代碼中

根據(jù)該安全團(tuán)隊所言，一些密碼管理器應(yīng)用程序非常容易遭受數(shù)據(jù)殘留攻擊和剪貼板嗅探（clipboard sniffing）。一些應(yīng)用程序?qū)⒅髅艽a存儲為純文本或是直接在應(yīng)用程序代碼中暴露出加密密鑰。

例如一個影響Informaticore密碼管理器的高危漏洞，就是由于該應(yīng)用程序?qū)⒅髅艽a的加密密鑰硬編碼在應(yīng)用程序的代碼中，類似的漏洞同樣存在于LastPass密碼管理器中。事實上，在某些情況下，用戶存儲的密碼很容易被安裝在用戶設(shè)備中的任意惡意軟件所訪問和泄漏。

除了上述問題，研究人員還發(fā)現(xiàn)，在大多數(shù)密碼管理器應(yīng)用程序中的自動功能可以通過“隱藏網(wǎng)絡(luò)釣魚”攻擊的方式，被攻擊者用于竊取存儲的隱私數(shù)據(jù)。

而最令人擔(dān)憂的情況是什么呢？研究人員發(fā)現(xiàn)的大部分漏洞都可以被任意攻擊者輕易地利用而不需要獲取root權(quán)限。

脆弱的密碼管理器及影響它們的漏洞

以下是TeamSIK安全團(tuán)隊發(fā)現(xiàn)的一些主流Android密碼管理器中存在的漏洞：

MyPasswords密碼管理器：

讀取MyPasswords應(yīng)用程序私人數(shù)據(jù)；

主密碼的加密密鑰硬編碼在應(yīng)用程序的代碼中；

免費的高級功能解鎖MyPasswords；

1Password密碼管理器：

在1Password內(nèi)部瀏覽器中子域名密碼泄漏；

在1Password內(nèi)部瀏覽器中默認(rèn)將HTTPS降級為HTTP鏈接；

1Password數(shù)據(jù)庫中標(biāo)題和鏈接不加密；

從應(yīng)用程序文件夾中讀取私人數(shù)據(jù)；

將隱私問題，信息泄漏給1Password密碼管理器供應(yīng)商；

LastPass密碼管理器：

主密鑰硬編碼在LastPass密碼管理器應(yīng)用程序中；

隱私，數(shù)據(jù)泄漏；

從LastPass密碼管理器中讀取私人數(shù)據(jù)（存儲的主密碼）；

Informaticore密碼管理器：

不安全的憑證存儲；

Keeper密碼管理器：

安全問題繞過；

沒有主密碼的情況下進(jìn)行數(shù)據(jù)注入；

Dashlane密碼管理器：

從應(yīng)用程序文件夾中讀取私人數(shù)據(jù)；

谷歌搜索信息泄漏；

數(shù)據(jù)殘留攻擊；

Dashlane內(nèi)部瀏覽器中子域名密碼泄漏；

F-Secure KEY密碼管理器：

不安全的憑證存儲； 

Keepsafe密碼管理器：

密碼明文存儲； 

Avast密碼管理器：

從Avast密碼管理器中竊取應(yīng)用程序密碼；

默認(rèn)將HTTPS降級為HTTP鏈接；

破損的安全通信實現(xiàn)；

目前各供應(yīng)商已經(jīng)解決了所有安全問題，建議所有用戶盡快更新自己的密碼管理器應(yīng)用程序，因為現(xiàn)在黑客已經(jīng)掌握了所有密碼管理器存在的安全漏洞情況，隨時可能發(fā)起進(jìn)一步攻擊。

本文轉(zhuǎn)自：