1Password, LastPass e mais gerenciadores têm falha que entrega senhas a hackers
Por Jaqueline Sousa • Editado por Jones Oliveira |
Cuidado com o gerenciador de senhas que você usa: especialistas de segurança da ETH Zurich e da USI University descobriram vulnerabilidades em quatro ferramentas que podem abrir as portas para que hackers violem suas credenciais.
- Falha grave em gerenciadores de senha expõe 40 milhões a roubo de dados
- 5 apps gerenciadores de senhas gratuitos e confiáveis
A análise detectou problemas no Bitwarden, LastPass, Dashlane e 1Password, gerenciadores de senhas baseados em nuvem que, devido às falhas, permitem o acesso não autorizado de agentes maliciosos. Uma vez dentro dos sistemas, os criminosos conseguem visualizar as senhas do usuário, assim como também possuem o poder de alterá-las.
A descoberta foi feita a partir da análise de 27 cenários de ataques bem-sucedidos contra esses gerenciadores, cujas investidas variaram em gravidade, indo desde violações de integridade ao comprometimento total dos cofres da vítima fictícia. Muitos desses cenários também possibilitaram a recuperação de senhas por parte dos invasores.
Falsa sensação de segurança
Alegando “prova de conhecimento zero”, os provedores por trás dos gerenciadores vulneráveis foram desafiados pelas descobertas dos pesquisadores no que diz respeito à criptografia de seus processos. Afinal, os cenários de ataques mostraram que havia uma falsa sensação de segurança para com seus usuários.
Entre as observações dos especialistas foram encontradas antipadrões de projeto e erros criptográficos que incluíam chaves públicas não autenticadas, ausência de vínculo criptográfico entre dados e metadados, e uma separação insuficiente das chaves guardadas.
As simulações de ataques ainda resultaram no comprometimento total de cofres por meio de processos de recuperação de contas e a ausência de verificações robustas. Cofres compartilhados por meio de chaves públicas também foram violados nos ataques.
Uma das invasões fictícias, por exemplo, usou a Bitwarden para mostrar como um hacker poderia controlar o servidor ao sequestrar o cofre do usuário de maneira silenciosa apenas com o envio de um convite, fazendo com que tudo parecesse vir de um agente legítimo.
Segundo os especialistas, as fornecedoras dos gerenciadores vulneráveis foram acionadas acerca do problema. A recomendação para evitar uma violação de segurança do tipo é combinar métodos de autenticação, como separação de chaves e criptografia, aumentando a segurança das credenciais do usuário.
Leia também:
- Fim das senhas no Microsoft Authenticator: 5 apps para guardar suas credenciais
- Usa um destes gerenciadores de senha? Novo golpe tem você como alvo
- Como usar o gerenciador de senhas do Google no Android
Fonte: Infosecutiry Magazine