Lỗ hổng nghiêm trọng trên ứng dụng quản lý mật khẩu RoboForm
Việc ghi nhớ mật khẩu là một việc không hề dễ dàng và đặc biệt nếu mỗi một trang web bạn lại có mật khẩu khác nhau. Để quá trình này trở nên dễ dàng hơn, có một ứng dụng quản lý mật khẩu đang rất phát triển trên thị trường với các khóa với nhiều tầng bảo mật. Roboform là ứng dụng quản lý mật ...
Việc ghi nhớ mật khẩu là một việc không hề dễ dàng và đặc biệt nếu mỗi một trang web bạn lại có mật khẩu khác nhau. Để quá trình này trở nên dễ dàng hơn, có một ứng dụng quản lý mật khẩu đang rất phát triển trên thị trường với các khóa với nhiều tầng bảo mật.
Roboform là ứng dụng quản lý mật khẩu tuyệt vời được phát triển bởi Công ty Siber trên nhiều nền tảng, nó thực hiện lưu trữ các dữ liệu nhạy cảm của bạn ở cùng một chỗ, được bảo vệ bởi tài khoản RoboForm và được mã hóa bằng một mật khẩu bí mật. Người dùng ứng dụng RoboForm có thể nhanh chóng truy cập vào những mật khẩu này bất cứ lúc nào và bất cứ nơi đâu.
Tuy nhiên, nếu bạn đang sử dụng ứng dụng quản lý mật khẩu phổ biến nhất trên điện thoại di động là RoboForm để quản lý các mật khẩu của mình thì bạn có thể sẽ gặp nguy hiểm. Một chuyên gia bảo mật đã phát hiện ra một lỗ hổng nghiêm trọng trên ứng dụng này và một kẽ hở trên dịch vụ của RoboForm cho phép kẻ tấn công có thể đánh cắp dữ liệu cá nhân của người dùng, bao gồm các giấy chứng nhận truy cập, mật khẩu của rất nhiều website và thông tin chi tiết các thẻ thanh toán của họ.
VƯỢT QUA MÃ PIN BẢO VỆ CỦA THIẾT BỊ ROBOFORM
Lỗ hổng được phát hiện bởi Paul Moore trong hệ thống bảo mật của RoboForm ảnh hưởng đến người dùng ứng dụng trên Android và iOS, cho phép bất kì ai cũng có thể vượt qua được mã PIN bảo vệ của RoboForm để truy cập vào những dữ liệu nhạy cảm của người dùng. Các ứng dụng RoboForm trên điện thoại di động yêu cầu một mã PIN bảo vệ, mã này chỉ bảo vệ giao diện ứng dụng từ các truy cập không hợp pháp giống như là ứng dụng Applock của Android.
Moore nói rằng chỉ cần dòng code trong các file của RoboForm đặt trong một thư mục trên thiết bị thì anh ta có thể truy cập vào các dữ liệu bí mật và vượt qua quá trình xác nhận trên các thiết bị Android thậm chí không cần yêu cầu mật khẩu như đã chỉ ra ở Video được Moore tải lên dưới đây:
[embedyt]https://www.youtube.com/watch?v=YL4yQRw69oo[/embedyt]
Điểm quan trọng cần lưu ý ở đây là các thư mục ứng dụng của RoboForm mà Moore truy cập thực chất được đặt ở thư mục gốc của thiết bị, nơi mà người dùng hay bất bất kì bên thứ ba nào cũng có thể truy cập vào được.
Lỗ hổng này rất nghiêm trọng vì ứng dụng RoboForm lưu trữ tất cả mật khẩu của người dùng, các lưu ý bí mật và cả các thông tin chi tiết về thẻ thanh toán, và việc vượt qua được mã PIN cho phép bất kì ai cũng có thể đánh cắp toàn bộ dữ liệu nhạy cảm của người dùng trong vòng 5 phút.
Tuy nhiên, để khai thác thành công, thì cần lục soát hoặc đánh cắp thiết bị đích, tuy nhiên đối với những kẻ tấn công thì rất dễ dàng để đánh cắp các thiết bị này. Đôi ngũ RoboForm cho biết thêm “Nếu một ai đó có thể lục tung một chiếc điện thoại thì không chỉ có RoboForm bị ảnh hưởng mà bất kì ứng dụng nhạy cảm khác cũng sẽ bị gây hại.”
RoboForm lưu mật khẩu của người dùng
Sau khi cài đặt ứng dụng RoboForm trên Android hoặc hệ điệu hành Windows, nó sẽ yêu cầu đăng ký hoặc đăng nhập vào tài khoản RoboForm. Khi đăng nhập thành công, bạn sẽ nhận được các tùy chọn để tạo lập hoặc chỉnh sửa các thông tin thẻ thanh toán, các ghi chứ và mật khẩu tài khoản.v.v
Sau đó ứng dụng điện thoại di động hay phần mềm máy tính sẽ gợi ý người dùng cài đặt một “Mật khẩu chính” để mã hóa các thông tin với mức độ mã hóa an toàn cao. Công ty này cho biết rằng Mật khẩu chính làm việc giống như một khóa bí mật được sử sụng để mã hóa các file cục bộ trên thiết bị và sau đó các ứng dụng tải các file này lên máy chủ dưới dạng RNF.
Khi thực hiện xong, mật khẩu chính sẽ chỉ được lưu vào thết bị để tự động mã hóa và giải mã về sau để thuận tiện hơn cho người dùng. Moore cho rằng công ty này đã nắm giữ được mật khẩu chính cá nhân của chúng tôi trên các ứng dụng thiết bị hoặc các ứng dụng window, các khóa chính bí mật thông qua ứng dụng Roboform. Nhưng họ chưa tìm được bằng chứng để chứng minh việc này.
Theo The Hacker News