reklama

Roboform má slabé místo, hesla lze ukrást z mobilu

Oblíbená služba pro šifrované ukládání hesel Roboform má bezpečnostní chybu, která umožní skrze mobilní aplikaci přístup k databázi uložených hesel bez znalosti hlavního hesla, píše The Hacker News (upozornil CSIRT). Není však důvod k panice a nehrozí masový únik dat, uživatelé navíc mohou zneužití chyby snadno předejít.

Klepněte pro větší obrázek

Obejít hlavní heslo lze skrze mobilní aplikaci Roboformu pro Android nebo iOS. Ta umožňuje nahradit hlavní heslo ryze číselným PINem, který se v mobilu snadněji zadává. Tím si aplikace zapamatuje hlavní heslo a po správném zadání PINu umožní přístup k databázi logicky bez něj. Ovšem jednoduchým výmazem řádku z jednoho ze souborů aplikace lze docílit toho, že aplikace nebude dotazovat PIN a pustí uživatele rovnou k databázi.

Postup je vidět na následujícím videu:

Teoreticky by tak mohl záškodník, který se dostane k telefonu, snadno získat všechna hesla. Inkriminovaný soubor je však uložen v systémové části a bez root přístupu či jailbraiku je nedostupný. Objevitelé chyby upozorňují, že provést root nebo jailbraik je triviální, nicméně riziko zneužití chyby se tím značně snižuje.

Tvůrci Roboformu zatím nevydali žádnou opravu. Ochrana je ale velmi jednoduchá – nepoužívejte v mobilu PIN k přístupu k Roboformu, ale přímo hlavní heslo. 

Mohlo by vás zajímat:

 

Témata článku: Software, Bezpečnost, Mobility, Únik dat, Heslo, Root

3 komentáře

Nejnovější komentáře

  • Poltergeist 7. 7. 2014 17:59:28
    ukrast to dakaze jedine Kuba ten to prolomi i z vypnuteho tel.
  • adsamcik 7. 7. 2014 10:47:11
    Ono to zase až tak není triviální rootnout telefon a získat hesla. Pokud...
reklama
Určitě si přečtěte

Microsoft: Zbavte se už konečně zastaralých a děravých Windows 7

Microsoft: Zbavte se už konečně zastaralých a děravých Windows 7

** Microsoft pomalu začíná kritizovat svůj nejpopulárnější OS ** Chce konečně dostat podniky na Desítky ** Bezpečnostní podpora Sedmiček vydrží ještě necelé tři roky

17.  1.  2017 | Jakub Čížek | 402

Český státní blacklist už funguje. Ministerstvo financí se pochlubilo s detaily

Český státní blacklist už funguje. Ministerstvo financí se pochlubilo s detaily

** Dva týdny po Novém roce zajím zeje prázdnotou ** Ministerstvo vydalo metodický pokyn ** Takhle to bude fungovat v praxi

16.  1.  2017 | Jakub Čížek | 49

Opera Neon: Takto prý bude vypadat prohlížeč budoucnosti. Chcete to?

Opera Neon: Takto prý bude vypadat prohlížeč budoucnosti. Chcete to?

** Opera představila Neon ** Koncepci prohlížeče budoucnosti ** Připomíná Chrome OS

16.  1.  2017 | Jakub Čížek | 35

Testy ze světa: Kaby Lake v high-endu splnil povinnost, Pentia jsou ale překvapením

Testy ze světa: Kaby Lake v high-endu splnil povinnost, Pentia jsou ale překvapením

** Na světě jsou testy porovnávající nové procesory řady Kaby Lake ** Modely Core i5 a Core i7 toho nenabízí mnoho navíc oproti Skylake ** Pozornost na sebe upoutala levná Pentia, která dostala podporu HT

17.  1.  2017 | Stanislav Janů | 55


Aktuální číslo časopisu Computer

99 nejlepších programů pro váš počítač

Zvykejte si na umělou inteligenci

Velké testy PC zdrojů a gamepadů

Alternativní zdroje energie

reklama
reklama