Roboform má slabé místo, hesla lze ukrást z mobilu

Oblíbená služba pro šifrované ukládání hesel Roboform má bezpečnostní chybu, která umožní skrze mobilní aplikaci přístup k databázi uložených hesel bez znalosti hlavního hesla, píše The Hacker News (upozornil CSIRT). Není však důvod k panice a nehrozí masový únik dat, uživatelé navíc mohou zneužití chyby snadno předejít.

Klepněte pro větší obrázek

Obejít hlavní heslo lze skrze mobilní aplikaci Roboformu pro Android nebo iOS. Ta umožňuje nahradit hlavní heslo ryze číselným PINem, který se v mobilu snadněji zadává. Tím si aplikace zapamatuje hlavní heslo a po správném zadání PINu umožní přístup k databázi logicky bez něj. Ovšem jednoduchým výmazem řádku z jednoho ze souborů aplikace lze docílit toho, že aplikace nebude dotazovat PIN a pustí uživatele rovnou k databázi.

Postup je vidět na následujícím videu:

Teoreticky by tak mohl záškodník, který se dostane k telefonu, snadno získat všechna hesla. Inkriminovaný soubor je však uložen v systémové části a bez root přístupu či jailbraiku je nedostupný. Objevitelé chyby upozorňují, že provést root nebo jailbraik je triviální, nicméně riziko zneužití chyby se tím značně snižuje.

Tvůrci Roboformu zatím nevydali žádnou opravu. Ochrana je ale velmi jednoduchá – nepoužívejte v mobilu PIN k přístupu k Roboformu, ale přímo hlavní heslo. 

Mohlo by vás zajímat:

 

Témata článku: Software, Bezpečnost, Mobility, Heslo, Únik dat, Root, Panic

3 komentáře

Nejnovější komentáře

  • Poltergeist 7. 7. 2014 17:59:28
    ukrast to dakaze jedine Kuba ten to prolomi i z vypnuteho tel.
  • adsamcik 7. 7. 2014 10:47:11
    Ono to zase až tak není triviální rootnout telefon a získat hesla. Pokud...
Určitě si přečtěte

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

** Gary Kildall pochopil, že levné výpočetní čipy mohou posloužit jako univerzální počítače pro všechny ** Připravil pro ně proto první operační systém ** Později mu systém vyfoukl Microsoft a nazval ho MS DOS

23.  4.  2017 | Pavel Tronner | 57

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

** Už je to tady, lidé přestávají chápat počítače ** Systémy neuronových sítí začínají pracovat tak, že ani jejich tvůrci přesně neví, co se uvnitř děje ** Do budoucna to může být závažný problém

24.  4.  2017 | Jakub Čížek | 112

Acer chrlí novinky: levný a tenký Predator, nové Switche a další notebooky

Acer chrlí novinky: levný a tenký Predator, nové Switche a další notebooky

** Acer na konferenci v New Yorku představil velkou spoustu novinek z oblasti počítačů, notebooků i monitorů ** Notebookové novinky se dotkly řad Predator, Swift, Switch i Aspire ** Herní notebooky dostaly nový typ chlazení

27.  4.  2017 | Karel Javůrek | 9

Jak by měly vypadat příští Windows? Designéři si pohráli s futuristickým prostředím Neon

Jak by měly vypadat příští Windows? Designéři si pohráli s futuristickým prostředím Neon

** Zkraje roku unikly na internet snímky nového prostředí Neon ** Součástí Windows by mohlo být už na podzim ** Komunita grafiků na webu nespala a začala si hrát

26.  4.  2017 | Jakub Čížek | 60

Jak funguje Apple Liam: Robot, který umí recyklovat staré iPhony

Jak funguje Apple Liam: Robot, který umí recyklovat staré iPhony

** Apple zveřejnil detaily, jak funguje robotický systém Liam pro recyklaci iPhonů ** Jeden Liam zvládne rozdělat i na ty nejmenší díly 1,2 milionů iPhonů ročně ** Liam je důležitým prvkem k tomu, aby Apple mohl vyrábět pouze ze stoprocentně recyklovaných materiálů

24.  4.  2017 | Karel Javůrek | 21


Aktuální číslo časopisu Computer

Supertéma: moderní cestování

Kdy opravdu přijdou nové baterie?

Velké testy: 6 herních notebooků a 8 volantů

Recenze: AMD Ryzen řady 5