Nyligen kom ett larm om att de mest användalösenordshanterarna, 1Password, Dashlane, LastPass och några till läckte lösenord. Analysen har gjorts av Adrian Bednarek.
På den tiden då jag jobbade med buggrapporter så ställdes alltid en motfråga när den som lämnade en buggrapport hävdade att den var kritisk och mycket allvarlig – ”Kan den exploateras remote?”.
Nästa fråga var ”Kräver den fysisk access till en sårbar enhet?”
Är svaret på den första frågan nej och svaret på den andra fråga ja så är buggen med stor sannolikhet inte allvarlig och inte kritisk.
Kan buggen inte exploateras utifrån och om den kräver tillgång till den pryl som buggen finns i, din dator, din iPad eller din iPhone så ska det mycket till om en bugg eller ett säkerhetshål ska klassificeras som allvarlig och kritisk.
Andra problem
Förklaringen är enkel – sitter någon med din iPhone i handen eller om någon sitter framför din dator så har du andra problem än en säkerhetsbugg. Då är det primära problemet att en obehörig har tillgång till din enhet.
Det är precis det Adrian Bednareks rapport och analys handlar om – minnet kan läsas av i datorn när de här programmen körs och i vissa fall så kan information läsas ut.
Ja, det är en svaghet men samtidigt så är det så att om någon helt tagit över din dator, loggat in och har full kontroll över enheten så blir det svårt för att inte säga hart när omöjligt för enskilda program att fullt ut skydda den information som de lagrar. Startas inte programmen så skyddar de informationen på ett godtagbart sätt konstaterar Bednarek. Det är när de har startats som minnet kan läsas av.
Skulle nu inte denna svaghet kunna exploateras remote, utifrån?
Jodå, skulle någon lyckas att kapa din dator, ta kontroll över den och fjärrstyra den så kan den den här svagheten exploateras men då har den obehörige alltså lyckats att ta över din dator. Skulle det inträffa så är det betydligt enklare att installera en trojan som lagrar alla inskrivna lösenord, logga ut, vänta några dagar och sedan logga in och hämta listan på lösenord.
I ett sådant läge så är ditt problem inte att minnet i din dator kan läsas av då din lösenordshanterare har startats. Då är ditt primära problem att en obehörig har full tillgång till din dator.
Program
Inget operativsystem i världen eller enskild program kan skyddas om enheten i sig har hamnat i fel händer. Nu avser jag i normalfallet. Det finns olika säkerhetsprogram, krypteringsprogram och olika säkerhetslösningar som göra det mycket svårt för en obehörig att komma över information men det är lösningar som de flesta av oss inte har installerat i våra prylar. I en vanlig Mac, en vanlig iPhone och i en vanlig iPad så är det namn, lösenord och fil/disk-krypteringen som utgör skyddet tillsammans med brandväggen.
Ska då Adrian Bednareks analys och rapport avfärdas som alarmistisk?
Nej, analysen är korrekt. Du kan läsa av information när de har programmen har startats och i den bästa av världar så borde det inte vara möjligt. Programmen skulle kunna göras ännu lite säkrare. Det är snarare medierna och rubriksättare som överdriver hotet, inte de enskilda säkerhetsforskarna.
