Oblíbená služba pro šifrované ukládání hesel Roboform má bezpečnostní chybu, která umožní skrze mobilní aplikaci přístup k databázi uložených hesel bez znalosti hlavního hesla, píše The Hacker News (upozornil CSIRT). Není však důvod k panice a nehrozí masový únik dat, uživatelé navíc mohou zneužití chyby snadno předejít.
Obejít hlavní heslo lze skrze mobilní aplikaci Roboformu pro Android nebo iOS. Ta umožňuje nahradit hlavní heslo ryze číselným PINem, který se v mobilu snadněji zadává. Tím si aplikace zapamatuje hlavní heslo a po správném zadání PINu umožní přístup k databázi logicky bez něj. Ovšem jednoduchým výmazem řádku z jednoho ze souborů aplikace lze docílit toho, že aplikace nebude dotazovat PIN a pustí uživatele rovnou k databázi.
Postup je vidět na následujícím videu:
Teoreticky by tak mohl záškodník, který se dostane k telefonu, snadno získat všechna hesla. Inkriminovaný soubor je však uložen v systémové části a bez root přístupu či jailbraiku je nedostupný. Objevitelé chyby upozorňují, že provést root nebo jailbraik je triviální, nicméně riziko zneužití chyby se tím značně snižuje.
Tvůrci Roboformu zatím nevydali žádnou opravu. Ochrana je ale velmi jednoduchá – nepoužívejte v mobilu PIN k přístupu k Roboformu, ale přímo hlavní heslo.
Mohlo by vás zajímat:
