Puluhan ribu pengguna password manager atau pengelola kata sandi bernama Password Cloud, baik versi gratis maupun berbayar berisiko bocornya informasi rahasia mereka. Karena sejumlah kelemahan serius dalam desain dan implementasi aplikasi, memudahkan para peretas untuk mencuri kredensial, kartu kredit, kontak, atau gambar yang tersimpan di perangkat pengguna.
Aplikasi Password Cloud yang dimaksudkan untuk menyimpan informasi ultra-sensitif kliennya menggunakan enkripsi AES 265-bit, yang dianggap sebagai teknologi standar untuk aplikasi tersebut. Namun, penyerang dapat mengambil informasi apa pun yang tersimpan di aplikasi ini, termasuk kata sandi yang mengamankan aplikasi itu sendiri.
Ada dua masalah keamanan mendasar dengan aplikasi Password Cloud :
- Aplikasi mengeluarkan hampir semua informasi sensitif yang dimasukkan ke sistem log, yang dicatat langsung dari input pengguna, sehingga informasi sensitif itu tidak lagi menjadi rahasia.
- Kunci untuk mendekripsi database dengan kata sandi di-hardcode dalam aplikasi dan untuk melengkapi ini, aplikasi membuat salinan database pada penyimpanan eksternal.
Log tidak aman
Setelah pengguna membuat kata sandi pertama mereka untuk mengakses aplikasi, kata sandi ini akan bocor dalam pesan sistem yang dapat dilihat “sebagai plaintext” melalui logcat. Jika kata sandi yang salah dimasukkan dalam proses otentikasi, kata sandi yang benar adalah output ke pesan log sistem tertentu.
Akibatnya, siapa pun yang dapat mengakses log sistem dan membaca isinya dapat mengambil alih password manager. Untuk versi Android yang lebih rendah dari 4.1, semua aplikasi yang diinstal pada perangkat yang sama, bahkan tanpa izin root, dapat membaca semua log ini dan memfilternya untuk informasi sensitif. Untuk Android 4.1 dan di atasnya, aplikasi memerlukan hak admin yang lebih tinggi untuk dapat membaca log.
Rahasia tertentu seperti kredensial, kontak, kartu kredit, kode rahasia, file media, dan lainnya, juga dapat dibocorkan melalui mekanisme yang sama. Setelah pengguna memasukkan “rahasia” baru ke dalam aplikasi, ia membuat entri log yang darinya, “rahasia” itu dapat dengan mudah diambil.
Database tidak aman
Mengenai kata sandi, baik kata sandi orisinil dan kata sandi master yang memungkinkan akses ke sana, disimpan dalam basis data terenkripsi. Basis data ini disimpan di bagian data aplikasi /data/data/password.cloud/databases/ dan hanya dapat diakses oleh aplikasi ini. Desain seperti itu adalah standar; namun, aplikasi ini juga menyalin basis data ini Password_Cloud.db dan Password_Cloud_backup_RenameToUse.db ke penyimpanan eksternal yang bisa diakses oleh siapa saja.
Alasan untuk ini tidak diketahui, mungkin itu adalah fungsi yang tak terpakai, awalnya dimaksudkan untuk tujuan pengujian dan kemudian diabaikan selama pengembangan selanjutnya. Bug ini sendiri tidak akan menimbulkan risiko keamanan yang signifikan asalkan database dienkripsi dengan benar. Sayangnya, itu bukan masalahnya. Meskipun basis data dienkripsi, kunci untuk mendekripsi mereka di-hardcode ke dalam aplikasi. Selain itu, kuncinya bersifat universal sehingga setelah peretas memegang kuncinya, mereka dapat mengambil semua kata sandi dari sembarang pengguna aplikasi Password Cloud.
Tentu saja kondisi tidak aman ini dapat disalahgunakan baik oleh peretas dengan akses fisik atau melalui serangan malware. Praktik keamanan buruk lainnya yang dilakukan oleh pengembang Password Cloud dan yang paling merusak bagi mereka yang akan menyingkirkan aplikasi adalah bahwa kedua database yang dienkripsi dengan buruk ini selamat dari penghapusan aplikasi. Ini berarti bahwa bahkan setelah pengguna menghapus Password Cloud dari perangkat mereka, basis data tetap dapat diakses pada penyimpanan eksternal.
Server tidak aman
ESET juga menemukan bahwa bahkan infrastruktur pengembang sendiri tidak kalah tidak amannya dengan aplikasi password manager mereka. ESET menemukan dua kelemahan keamanan parah di backend Password Cloud: satu memungkinkan serangan Cross-Site Scripting (XSS) dan yang kedua memungkinkan serangan Man-in-the-Middle (MitM).
Cacat XSS yang secara luas dianggap sebagai salah satu risiko keamanan aplikasi web teratas, dapat disalahgunakan dengan memalsukan tautan pengunduhan yang mengarah ke biner Password Cloud, mengarahkan pengguna ke perangkat lunak yang berbeda. Tautan jahat dapat dikirim melalui email atau melalui aplikasi media sosial.
Adapun kerentanan terhadap serangan MitM, berasal dari pengaturan yang salah yang membuat aplikasi terhubung ke server menggunakan koneksi HTTP yang tidak aman, ketimbang protokol HTTPS yang aman. Akibatnya, peretas dengan akses ke jaringan yang sama dapat memanfaatkannya untuk menukar tautan yang diminta dengan yang berbahaya.
Semua pengguna aplikasi Password Cloud baik versi gratis ataupun berbayar semua dalam posisi rentan. Rahasia mereka terancam dan bahkan mungkin sudah bocor. ESET merekomendasikan untuk menghindari aplikasi ini. Untuk semua pengguna, ESET sarankan untuk menghapus aplikasi dan mengubah semua kata sandi, PIN, dan lainnya yang disimpan di dalamnya.
