Een groep Duitse beveiligingsonderzoekers, genaamd TeamSIK, heeft een rapport gepresenteerd met daarin een beoordeling van de beveiliging van negen populaire wachtwoordmanagers op Android. Alle negen wachtwoordmanagers vertoonden gebreken, die inmiddels zijn verholpen.
De groep onderzoekers die werkzaam is bij het Fraunhofer Institute for Secure Information Technology in het Duitse Darmstadt, heeft gekeken naar de beveiliging van negen wachtwoordmanagers: My Passwords, Informaticore Password Manager, LastPass, Keeper, F-Secure KEY, Dashlane, Hide Pictures Keep Safe Vault, Avast Passwords en 1Password. In elke applicatie hebben de onderzoekers een of meer kwetsbaarheden ontdekt. Dat blijkt uit de rapportage van het onderzoeksteam.
De groep vond een aantal serieuze kwetsbaarheden. Zo bewaarden sommige wachtwoordmanagers de gekozen wachtwoorden in plaintext. Ook werden in sommige gevallen de encryptiesleutels in de programmeercode verwerkt. Hierdoor konden kwaadwillenden vrij eenvoudig het beveiligingsalgoritme omzeilen en toegang krijgen tot de gebruikersdata. In andere gevallen konden de onderzoekers via een andere app toegang krijgen tot alle opgeslagen wachtwoorden. Ook bleek dat de meeste wachtwoordmanagers het probleem van clipboard sniffing niet serieus namen. Hierbij worden de verificatiegegevens niet van het klembord verwijderd nadat ze hiernaar zijn gekopieerd.
De negen wachtwoordmanagers werden gekozen op basis van het aantal downloads in de Google Play Store. Het onderzoeksteam noemt de resultaten zeer zorgwekkend. Volgens de onderzoekers laat hun onderzoek zien dat wachtwoordmanagers, ondanks hun claims zeer veilig te zijn, steken laten vallen op het gebied van de beveiliging van opgeslagen wachtwoorden.