Roboform má slabé místo, hesla lze ukrást z mobilu

Oblíbená služba pro šifrované ukládání hesel Roboform má bezpečnostní chybu, která umožní skrze mobilní aplikaci přístup k databázi uložených hesel bez znalosti hlavního hesla, píše The Hacker News (upozornil CSIRT). Není však důvod k panice a nehrozí masový únik dat, uživatelé navíc mohou zneužití chyby snadno předejít.

Klepněte pro větší obrázek

Obejít hlavní heslo lze skrze mobilní aplikaci Roboformu pro Android nebo iOS. Ta umožňuje nahradit hlavní heslo ryze číselným PINem, který se v mobilu snadněji zadává. Tím si aplikace zapamatuje hlavní heslo a po správném zadání PINu umožní přístup k databázi logicky bez něj. Ovšem jednoduchým výmazem řádku z jednoho ze souborů aplikace lze docílit toho, že aplikace nebude dotazovat PIN a pustí uživatele rovnou k databázi.

Postup je vidět na následujícím videu:

Teoreticky by tak mohl záškodník, který se dostane k telefonu, snadno získat všechna hesla. Inkriminovaný soubor je však uložen v systémové části a bez root přístupu či jailbraiku je nedostupný. Objevitelé chyby upozorňují, že provést root nebo jailbraik je triviální, nicméně riziko zneužití chyby se tím značně snižuje.

Tvůrci Roboformu zatím nevydali žádnou opravu. Ochrana je ale velmi jednoduchá – nepoužívejte v mobilu PIN k přístupu k Roboformu, ale přímo hlavní heslo. 

Mohlo by vás zajímat:

 

Témata článku: Software, Bezpečnost, Mobility, Únik dat, Heslo, Root, Panic

3 komentáře

Nejnovější komentáře

  • Poltergeist 7. 7. 2014 17:59:28
    ukrast to dakaze jedine Kuba ten to prolomi i z vypnuteho tel.
  • adsamcik 7. 7. 2014 10:47:11
    Ono to zase až tak není triviální rootnout telefon a získat hesla. Pokud...
Určitě si přečtěte

Kde nejlevněji uložit 1 TB dat: Srovnali jsme aktuální ceny cloudových úložišť

Kde nejlevněji uložit 1 TB dat: Srovnali jsme aktuální ceny cloudových úložišť

** Srovnali jsme známá cloudová úložiště podle toho, kolik měsíčně zaplatíte za 1TB ** Ceny se pohybují od dvou stovek až po tisíc korun ** Google umožní uložit až 30 TB dat

18.  3.  2017 | Stanislav Janů | 115

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie

** Do Vancouveru se sjeli hackeři ** Soutěžili v útocích na prohlížeče ** Chrome odolal, ale Edge to projel na celé čáře

22.  3.  2017 | Jakub Čížek | 78

Pojďme programovat elektroniku: Meteostanice, která bude díky Sigfoxu posílat stav počasí třeba z vrcholu Sněžky

Pojďme programovat elektroniku: Meteostanice, která bude díky Sigfoxu posílat stav počasí třeba z vrcholu Sněžky

** Příští roky budou ve znamení internetu věcí ** Podívali jsme se podrobně na síť Sigfox ** Takhle s ní komunikují krabičky z celé Evropy

19.  3.  2017 | Jakub Čížek | 18

Obří Mechroboti jsou realitou, měří čtyři metry a mají hmotnost přes 1,5 tuny

Obří Mechroboti jsou realitou, měří čtyři metry a mají hmotnost přes 1,5 tuny

** Jihokorejská společnost Hankook Mirae Technology vyrábí obří Mechroboty ** Jsou určené pro ovládání člověkem uvnitř ** V prodeji se objeví koncem tohoto roku za 200 milionů korun

20.  3.  2017 | Karel Javůrek | 18


Aktuální číslo časopisu Computer

Supertéma o počítačové bezpečnosti

AMD Ryzen přichází

Velké testy kinoprojektorů a levných sluchátek

Příslušenství do USB-C