Безопасность продукта 
В большинстве случаев имеющиеся на рынке менеджеры паролей требуют только мастер-пароль пользователя для доступа к хранилищу паролей. Если мастер-пароль будет скомпрометирован, злоумышленники смогут использовать его для...
Стремление Keeper Security защищать данные пользователей влияет на все, что мы делаем. Keeper имеет самую давнюю в отрасли сертификацию SOC 2 и ISO 27001. Keeper соответствует требованиям GDPR, CCPA, а также FedRAMP и StateRAMP. Мы заботимся о данных наших клиентов, поэтому Keeper применяет активные меры предосторожности для защиты от автоматического ввода учетных данных на платформах ненадежных приложений или веб-сайтов.
Недавний исследовательский отчет по безопасности вызвал беспокойство по поводу уязвимости системы Android перед атакой под названием AutoSpill, которая может позволить менеджеру паролей заполнить учетные данные в ненадежном приложении. Keeper работает в тесном сотрудничестве с исследовательским сообществом, изучающим безопасность, через программу выявления ошибок и программу раскрытия уязвимостей (VDP), управляемую Bugcrowd. В рамках этой программы Keeper сотрудничает с добросовестными хакерами, чтобы выявить и устранить любые проблемы в наших решениях по кибербезопасности и помочь улучшить коллективную кибербезопасность отрасли в целом.
Сначала компания Keeper получила отчет от исследователя 31 мая 2022 года и запросила видео, демонстрирующее выявленную проблему. Проведя анализ, мы пришли к выводу, что исследователь сначала установил вредоносное приложение, а затем принял предупреждение Keeper о том, что вредоносное приложение должно быть подключено к записи пароля. Встроенные средства защиты Keeper защищают от такого типа сценариев. На платформе Android Keeper отправляет пользователю подсказку при попытке автозаполнения учетных данных в приложении или на сайте. Перед заполнением информации пользователю предлагается подтвердить связь приложения с записью пароля Keeper.
Ниже представлен снимок экрана, демонстрирующий защиту Keeper от сценария, описанного ранее:
Связь записи Keeper с вредоносным приложением могла произойти только в том случае, если пользователь отменил важные настройки безопасности на своем устройстве для загрузки неавторизованного вредоносного приложения или загрузил опасное приложение не из официального магазина App Store. Впоследствии пользователю нужно будет непосредственно разрешить связать запись Keeper с вредоносным приложением для автоматического заполнения утвержденных учетных данных. 29 июня 2022 года мы сообщили исследователю о мерах защиты программного обеспечения Keeper и дополнительно рекомендовали ему направить отчет в Google, поскольку его замечания касались компонента WebView Android.
Существуют простые правила, которым должны следовать пользователи любого менеджера паролей, включая Keeper, чтобы защитить себя:
- Загружайте приложения только на надежных сайтах, таких как Google Play Store. Эти приложения проходят процесс подачи и утверждения, который защищает пользователей от непреднамеренной установки вредоносного программного обеспечения.
- Связывайте записи в хранилище паролей только с надежными приложениями. Не разрешайте связывать записи или автоматически заполнять учетные данные в ненадежных приложениях или на веб-сайтах.
Keeper предоставляет множество образовательных ресурсов, которые помогут каждому повысить уровень кибербезопасности и следовать лучшим рекомендациям. Мы всегда рекомендуем проявлять осторожность и бдительность при выборе устанавливаемых приложений.
Узнайте больше о том, как защитить свой смартфон.
