密码管理软件是加密的库，被用于存储凭据和其他敏感信息，它们可为每个不同的应用程序和在线服务使用唯一的强凭据。

许多安全专家鼓励使用这些密码管理软件，虽然他们也建议采用多因素身份认证，以确保攻击者无法访问用户的账户，即便用于保护账户的凭据遭到窃取。

约克大学的研究人员MichaelCarr和Siamak F. Shahandashti分析了五款流行的商业密码管理软件——LastPass，Dashlane，Keeper，1Password和RoboForm，发现四个之前未知的安全漏洞，包括一个可导致凭据泄露的漏洞。

研究人员在一份最近发布的白皮书中解释到，其中最重要的漏洞可允许恶意程序冒充合法程序，诱使密码管理软件显示所存储的各自服务的凭据。

该漏洞影响1Password和LastPass安卓应用程序。研究人员发现这两个应用程序将弱匹配标准用于识别建议自动填充的存储凭据，容易遭受钓鱼攻击。

因此，研究人员解释称，恶意的程序只要使用完全相同的数据包名称就可以冒充合法的程序。研究人员创建了一个PoC程序，该程序对LastPass使用了这种攻击，但是研究人员说该攻击也同样适用于1Password。

研究人员解释，“该程序有一个登录界面，该界面设计用于模仿正式的谷歌登录界面，因此难以分辨。LastPass使用的弱匹配标准意味着，当该恶意程序启动时LastPass会使用存储在用户库中的谷歌凭据自动填充登录页面。”

然而，攻击要取得成功，恶意程序需要安装在受害者的安卓设备上，且受害者须使用脆弱的密码管理软件及其自动填充提示，并将目标应用程序的凭据存储在加密库中。

除了1Password，研究人员在所分析的密码管理软件中发现的另一个漏洞是软件没有对拷贝到剪贴板的凭据提供足够的保护。具体而言，在Windows10计算机上，可从剪贴板以明文形式粘贴凭据，即便该计算机被锁定。

研究人员指出，“虽然攻击无法得知密码关联的账户，但是攻击者可以借助预编译的，已知自动填充功能无法运行的网站名单尝试凭据。建议密码管理软件提供一个选项，在一定时间后可以清除剪贴板，以缓解该漏洞的影响。”

为了提升易用性，一些密码管理软件允许用户使用一个四位数的PIN码保护加密库，但是Carr和Shahandashti发现RoboForm和Dashlane安卓应用程序没有用于计算持续的PIN错误尝试次数的计数器。

因此，攻击者可以连续尝试两个PIN码，然后从最近的应用程序抽屉中移除该应用程序，接着再试两个PIN码。即便攻击者要手动输入PIN码，他们仍然可以在平均2.5小时内找到一个随机选择的PIN码。

研究人员指出，“我们没有完全自动化该攻击，但是我们认为自动化攻击会耗费相对比较少的时间暴力破解PIN码。”研究人员补充说明到，成功破解PIN码可允许攻击者“查看、修改或删除密码管理软件库中的记录。”

所有的受测密码管理软件都为用户提供浏览器扩展，研究人员发现Keeper，Dashlane和1Password“在输入主密码时容易受到一个由UI驱动的暴力破解攻击。”

具体来说，这些密码管理软件没有中止身份认证过程的安全措施，即便在10次不成功的登录尝试后，也没有中止认证。这会导致字典攻击。这些密码管理软件都没有用于跟踪错误尝试次数的计数器，但是RoboForm和LastPass实施可以降低可能的暴力破解攻击的机制。

这些漏洞是在2017年发现的。研究人员在2018年联系厂商，负责任地披露所发现的漏洞。研究人员说所有五家厂商都做出了响应，虽然只有少量的披露信息和一个补丁，主要因为这些漏洞被厂商视为低优先级。

本文源自Security Week；转载请注明出处。