Britský výzkumník objevil zranitelnosti v oblíbeném password manageru

RoboForm je děravý. S takovým konstatováním přišel bezpečnostní konzultant Paul Moore. Podle něj trpí hlavně verze pro Android a iOS. Aplikace má jen na Google Play mezi 100 000 a půl milionem stažení, na poli password managerů se tak jistě nejedná o žádného outsidera.

Společnost Siber Systems, vyvíjející RoboForm, není žádným nováčkem - na trhu se objevila v roce 1998 a od roku 1999 vyvíjí RoboForm. Autoři se chlubí bezpečností na armádní úrovni a nabízí placené verze pro firmy. Jaká je však skutečnost? Autor nálezu to shrnul slovy: So next time you hear “completely secure” or “military grade encryption”, run a mile. It’s a $20 password manager! It’s OK… but enterprise-worthy? I’m not sure.

A v čem je tedy problém? Jak Moore zjistil, pouhým umazáním specifického řádku v konfiguraci programu je možné přistoupit k citlivým datům. Vše dokládá videem:

Je nutné podotknout, že soubor, který Moore modifikoval, je umístěn v root adresáři, kam by klasické aplikace či uživatel „nerootnutého zařízení“ neměli mít přístup. To je však jen chabá omluva.

Jak dále ze zkoumání Moora vyplývá, existují určitá zadní vrátka, kterými by se může společnost Siber Systems dostat k Master Password každého uživatele. Podle původního vyjádření společnosti se hlavní heslo nikam neposílá a je silně zašifrováno v zařízení. Moore však při dalším zkoumání aplikace objevil, že komunikace se serverem a přenášení hesla při přihlášení skutečně probíhá. Na Twitteru to také firma Siber Systems nakonec přiznala, společně s dešifrováním Master Password na serveru.

Společnost, které člověk svěřuje veškerý svůj online život by asi měla jednat fér a dělat svou práci pořádně. Více informací na Moorově blogu.