Vissa kommersiella lösenordshanterare kan vara sårbara för cyberattacker från falska appar, tyder ny forskning på.

Säkerhetsexperter rekommenderar att du använder ett komplext, slumpmässigt och unikt lösenord för varje onlinekonto, men att komma ihåg dem alla skulle vara en utmanande uppgift. Det är där lösenordshanterare är praktiska.

Krypterade valv som nås med ett enda huvudlösenord eller PIN-kod, de lagrar och autofyller autentiseringsuppgifter för användaren och rekommenderas starkt av Storbritanniens National Cyber ​​Security Centre.

Dock, forskare vid University of York har visat att vissa kommersiella lösenordshanterare kanske inte är ett vattentätt sätt att säkerställa cybersäkerhet.

Efter att ha skapat en skadlig app för att imitera en legitim Google-app, de kunde lura två av fem av de lösenordshanterare de testade till att ge bort ett lösenord.

Forskargruppen fann att några av lösenordshanterarna använde svaga kriterier för att identifiera en app och vilket användarnamn och lösenord som skulle föreslås för autofyll. Denna svaghet gjorde det möjligt för forskarna att utge sig för en legitim app helt enkelt genom att skapa en oseriös app med ett identiskt namn.

Seniorförfattare till studien, Dr Siamak Shahandashti från Institutionen för datavetenskap vid University of York, sade:"Sårbarheter hos lösenordshanterare ger hackare möjlighet att extrahera referenser, äventyra kommersiell information eller kränka personalinformation. Eftersom de är portvakter till mycket känslig information, rigorös säkerhetsanalys av lösenordshanterare är avgörande.

"Vår studie visar att en nätfiskeattack från en skadlig app är mycket genomförbar - om ett offer luras att installera en skadlig app kommer det att kunna presentera sig själv som ett legitimt alternativ på autofyll-prompten och ha en stor chans att lyckas."

"I ljuset av sårbarheterna hos vissa kommersiella lösenordshanterare har vår studie avslöjat, Vi föreslår att de måste tillämpa striktare matchningskriterier som inte bara är baserade på en apps påstådda paketnamn."

Forskarna upptäckte också att vissa lösenordshanterare inte hade någon gräns för hur många gånger en huvud-PIN eller ett lösenord kunde anges. Detta innebär att om hackare hade tillgång till en individs enhet kunde de starta en "brute force"-attack, gissa en fyrsiffrig PIN-kod på cirka 2,5 timmar.

Förutom dessa nya sårbarheter, forskarna gjorde också upp en lista över tidigare avslöjade sårbarheter som identifierats i en tidigare studie och testade om de hade lösts. De fann att även om det allvarligaste av dessa problem hade åtgärdats, många hade inte blivit tilltalade.

Forskarna avslöjade dessa sårbarheter för lösenordshanterarna.

Huvudförfattare till studien, Michael Carr, som genomförde forskningen medan han studerade för sin MSc i cybersäkerhet vid institutionen för datavetenskap, University of York, sa:"Nya sårbarheter hittades genom omfattande tester och avslöjades på ett ansvarsfullt sätt för leverantörerna. Vissa åtgärdades omedelbart medan andra ansågs lågprioriterade.

"Mer forskning behövs för att utveckla rigorösa säkerhetsmodeller för lösenordshanterare, men vi skulle ändå råda privatpersoner och företag att använda dem eftersom de förblir ett säkrare och mer användbart alternativ. Även om det inte är omöjligt, hackare skulle behöva starta en ganska sofistikerad attack för att komma åt informationen de lagrar."

Revisiting Security Vulnerabilities in Commercial Password Managers kommer att presenteras vid den 35:e internationella konferensen om ICT Systems Security and Privacy Protection (IFIP SEC 2020) i september, 2020.