恶意程序可利用密码管理软件中的漏洞窃取凭据
字数 1303 2025-08-18 11:39:30

密码管理软件安全漏洞分析与防护指南

漏洞概述

约克大学研究人员Michael Carr和Siamak F. Shahandashti对五款流行密码管理软件(LastPass、Dashlane、Keeper、1Password和RoboForm)的安全分析发现了四个主要漏洞:

  1. 安卓应用自动填充钓鱼漏洞
  2. 剪贴板凭据泄露漏洞
  3. PIN码暴力破解漏洞
  4. 浏览器扩展暴力破解漏洞

详细漏洞分析

1. 安卓应用自动填充钓鱼漏洞

受影响软件:1Password和LastPass安卓应用程序

漏洞原理

  • 使用弱匹配标准识别自动填充的存储凭据
  • 恶意程序只需使用完全相同的数据包名称即可冒充合法程序
  • 研究人员创建了PoC程序成功对LastPass实施攻击

攻击条件

  • 恶意程序需安装在受害者设备上
  • 受害者使用脆弱的密码管理软件及其自动填充功能
  • 目标应用程序的凭据存储在加密库中

2. 剪贴板凭据泄露漏洞

受影响环境:Windows 10计算机

漏洞表现

  • 可从剪贴板以明文形式粘贴凭据,即使计算机被锁定
  • 攻击者无法直接得知密码关联的账户
  • 攻击者可利用已知自动填充功能无法运行的网站名单尝试凭据

3. PIN码暴力破解漏洞

受影响软件:RoboForm和Dashlane安卓应用程序

漏洞细节

  • 无持续PIN错误尝试计数器
  • 攻击者可连续尝试两个PIN码,然后从最近应用抽屉移除应用,再试两个PIN码
  • 手动输入情况下,平均2.5小时可破解随机选择的PIN码

潜在危害

  • 成功破解后可查看、修改或删除密码管理软件库中的记录

4. 浏览器扩展暴力破解漏洞

受影响软件:Keeper、Dashlane和1Password浏览器扩展

漏洞表现

  • 输入主密码时易受UI驱动的暴力破解攻击
  • 无中止身份认证过程的安全措施(即使10次不成功尝试后)
  • 导致字典攻击风险
  • 无跟踪错误尝试次数的计数器

对比情况

  • RoboForm和LastPass实施了降低暴力破解攻击可能的机制

厂商响应与修复情况

  • 漏洞最初于2017年发现
  • 研究人员2018年联系厂商进行负责任披露
  • 所有五家厂商均做出响应
  • 只有少量披露信息和一个补丁
  • 多数漏洞被厂商视为低优先级

防护建议

  1. 针对自动填充钓鱼攻击

    • 禁用安卓应用的自动填充功能
    • 手动选择凭据填充而非自动填充
    • 警惕非官方应用界面

  2. 针对剪贴板泄露

    • 启用密码管理软件的"自动清除剪贴板"功能
    • 设置较短的剪贴板清除时间(如30秒)
    • 避免在公共计算机上使用密码管理软件

  3. 针对PIN码暴力破解

    • 避免使用4位数PIN码保护加密库
    • 使用强主密码替代PIN码
    • 定期检查异常登录活动

  4. 针对浏览器扩展暴力破解

    • 启用双因素认证
    • 设置复杂主密码(建议12字符以上,含大小写、数字和特殊字符)
    • 定期更换主密码

  5. 通用建议

    • 保持密码管理软件最新版本
    • 定期审查存储的凭据
    • 对关键账户启用多因素认证
    • 考虑使用硬件安全密钥增强保护

结论

密码管理软件虽能提高密码安全性,但仍存在潜在风险。用户应了解这些风险并采取适当防护措施,同时密切关注厂商的安全更新。安全是一个持续的过程,需要用户、开发者和研究人员的共同努力。

密码管理软件安全漏洞分析与防护指南 漏洞概述 约克大学研究人员Michael Carr和Siamak F. Shahandashti对五款流行密码管理软件(LastPass、Dashlane、Keeper、1Password和RoboForm)的安全分析发现了四个主要漏洞: 安卓应用自动填充钓鱼漏洞 剪贴板凭据泄露漏洞 PIN码暴力破解漏洞 浏览器扩展暴力破解漏洞 详细漏洞分析 1. 安卓应用自动填充钓鱼漏洞 受影响软件 :1Password和LastPass安卓应用程序 漏洞原理 : 使用弱匹配标准识别自动填充的存储凭据 恶意程序只需使用完全相同的数据包名称即可冒充合法程序 研究人员创建了PoC程序成功对LastPass实施攻击 攻击条件 : 恶意程序需安装在受害者设备上 受害者使用脆弱的密码管理软件及其自动填充功能 目标应用程序的凭据存储在加密库中 2. 剪贴板凭据泄露漏洞 受影响环境 :Windows 10计算机 漏洞表现 : 可从剪贴板以明文形式粘贴凭据,即使计算机被锁定 攻击者无法直接得知密码关联的账户 攻击者可利用已知自动填充功能无法运行的网站名单尝试凭据 3. PIN码暴力破解漏洞 受影响软件 :RoboForm和Dashlane安卓应用程序 漏洞细节 : 无持续PIN错误尝试计数器 攻击者可连续尝试两个PIN码,然后从最近应用抽屉移除应用,再试两个PIN码 手动输入情况下,平均2.5小时可破解随机选择的PIN码 潜在危害 : 成功破解后可查看、修改或删除密码管理软件库中的记录 4. 浏览器扩展暴力破解漏洞 受影响软件 :Keeper、Dashlane和1Password浏览器扩展 漏洞表现 : 输入主密码时易受UI驱动的暴力破解攻击 无中止身份认证过程的安全措施(即使10次不成功尝试后) 导致字典攻击风险 无跟踪错误尝试次数的计数器 对比情况 : RoboForm和LastPass实施了降低暴力破解攻击可能的机制 厂商响应与修复情况 漏洞最初于2017年发现 研究人员2018年联系厂商进行负责任披露 所有五家厂商均做出响应 只有少量披露信息和一个补丁 多数漏洞被厂商视为低优先级 防护建议 针对自动填充钓鱼攻击 : 禁用安卓应用的自动填充功能 手动选择凭据填充而非自动填充 警惕非官方应用界面 针对剪贴板泄露 : 启用密码管理软件的"自动清除剪贴板"功能 设置较短的剪贴板清除时间(如30秒) 避免在公共计算机上使用密码管理软件 针对PIN码暴力破解 : 避免使用4位数PIN码保护加密库 使用强主密码替代PIN码 定期检查异常登录活动 针对浏览器扩展暴力破解 : 启用双因素认证 设置复杂主密码(建议12字符以上,含大小写、数字和特殊字符) 定期更换主密码 通用建议 : 保持密码管理软件最新版本 定期审查存储的凭据 对关键账户启用多因素认证 考虑使用硬件安全密钥增强保护 结论 密码管理软件虽能提高密码安全性,但仍存在潜在风险。用户应了解这些风险并采取适当防护措施,同时密切关注厂商的安全更新。安全是一个持续的过程,需要用户、开发者和研究人员的共同努力。