市販の大半のパスワードマネージャーが パスワードボル
Keeper Securityのユーザーデータ保護に対する献身は、当社のすべての業務に浸透しています。Keeper®は、業界で最も長い歴史を持つSOC 2およびISO 27001認証を取得しています。当社は GDPR 準拠、CCPA 準拠、FedRAMP および StateRAMP 認定を受けています。信頼できないアプリまたはWebサイトに自動的に認証情報を入力することからお客様を保護するために、Keeper Securirtyのボルト(安全なデジタル保管庫)には自発的なセーフガードを設けております。
セキュリティ研究者からの最近の報告では、AutoSpillと呼ばれるAndroidの脆弱性について懸念が提起されました。当社はBugcrowdによって管理される当社のバグ報奨金および脆弱性開示プログラム(VDP)を通じて、セキュリティ研究コミュニティと緊密に協力しています。このプログラムを通じて、善意のハッカー(いわゆるホワイトハッカー)と協力し、当社のサイバーセキュリティソリューション内の問題を特定し、解決し、業界全体のサイバーセキュリティの向上に貢献しています。
Keeperは当初、2022年5月31日に研究者から報告を受け、報告された問題を実証するためにビデオを要求しました。我々の分析に基づき、研究者は最初に有害なアプリケーションをインストールし、その後、Keeperによる警告を無視し、有害なアプリケーションをパスワード記録に関連付けることを強制したと判断しました。当社のビルトインセーフガードはこのようなシナリオから保護します。Androidプラットフォーム上で、当社はアプリケーションまたはウェブサイトに認証情報を自動入力しようとすると、ユーザーにプロンプトを表示します。ユーザーは情報を入力する前に、パスワードの記録へのアプリケーションの関連付けを確認するよう求められます。
上記で概説した状況に対する Keeper の保護を示すスクリーンショットは以下の通りです。
Keeper内の記録と有害なアプリケーションの関連付けは、ユーザーがデバイスの重要なセキュリティ設定を上書きして有害なアプリケーションをサイドロードした場合、または公式App Store以外で危険なアプリケーションをダウンロードした場合にのみ発生します。その後、ユーザーは承認された認証情報を自動入力するために、記録と有害なアプリケーションの関連付けを自発的に承認する必要があります。2022年6月29日、我々はKeeperのソフトウェアセキュリティ保護について研究者に通知し、さらに、彼の懸念が特にAndroidのWebViewコンポーネントに関連していたため、Googleに報告書を提出することを推奨しました。
Keeperを含め、どのパスワード管理ソフトのユーザーも、自分自身を守るために常に従うべきシンプルなベストプラクティスがあります。
- アプリのダウンロードは、Google Play ストアのような信頼できるサイトからのみ行ってください。 これらのアプリケーションは、提出と承認のプロセスを経ることで、ユーザーが意図せずに悪意のあるソフトウェアアプリケーションをインストールしてしまうことを防ぎます。
- パスワードボルトの記録は、信頼できるアプリにのみ関連付けます。 信頼できないアプリケーションやサイトとの認証情報の関連付けや自動入力を許可しないでください。
Keeper は、誰もがサイバーセキュリティ保護を向上させ、ベストプラクティスに従うことを支援するために、多くの教育リソースを提供しています。 インストールするアプリケーションについては、常に慎重かつ用心深くあることをお勧めします。
スマートフォンを安全に保つ方法については、こちらをご覧ください。