Publicidade

Problema em app da Kaspersky levou ao uso de senhas fracas pelos usuários

Por| Editado por Jones Oliveira | 08 de Julho de 2021 às 15h20

Link copiado!

Divulgação/Kaspersky
Divulgação/Kaspersky
Tudo sobre Kaspersky

Os usuários do Kaspersky Password Manager receberam orientações para que troquem as senhas geradas pelo aplicativo para o sistema operacional iOS. Duas falhas foram descobertas nas credenciais geradas antes do mês de outubro de 2019, que tornam as combinações suscetíveis a ataques de força-bruta e fazem com que o resultado, aparentemente aleatório, possa ser facilmente comprometido por criminosos.

As vulnerabilidades foram reveladas pelo pesquisador em segurança Jean-Baptiste Bédrune, da Ledger Donjon, após um trabalho de quase dois anos. De acordo com ele, a lógica usada pelo KPM até a data indicada era eficaz contra ferramentas de quebra de senhas, enquanto sistemas mais dedicados e programados de maneira focada poderiam permitir a obtenção das credenciais.

Mais detalhadamente, a falha se encontra na ideia da aplicação de que senhas aleatórias criadas por humanos têm mais chance de contar com vogais como “e” ou “a”, além de combinações como “th” ou “he”. Tais opções aparecem pouco, então, e dão lugar a letras como “x” e “j” ou sequências “qx” ou “zr”, junto com outros atributos de aleatoriedade que envolvem a data e hora da criação. É eficaz, aponta Bédrune, a não ser que um atacante saiba que a credencial foi gerada com o uso da solução da Kaspersky.

Continua após a publicidade

Programando os sistemas de força-bruta de maneira direcionada a tais parâmetros, seria possível obter as senhas geradas pelo KPM após cerca de 100 tentativas, algo que, para uma ferramenta desse tipo, equivale a segundos de trabalho. De acordo com o especialista, as falhas não atingem todas as senhas criadas a partir de outubro de 2019, já que um erro no algoritmo de geração ajudou a dar ainda mais aleatoriedade para o processo.

O responsável pela descoberta aponta, ainda, que a Kaspersky foi informada sobre o problema em junho de 2019 e liberou uma atualização em outubro e, um ano depois, um alerta aos usuários sobre a necessidade de uma nova geração de senhas em alguns casos. Por fim, um alerta geral foi feito pela empresa em abril de 2021.

Em comunicado enviado ao Canaltech, a empresa confirmou o problema de segurança e também sua correção, afirmando que uma vulnerabilidade apenas existiria “no caso improvável de o invasor saber as informações da conta do usuário e a hora exata em que uma senha foi gerada”. Além disso, segundo a companhia, configurações que reduzissem a complexidade também tinham que estar ativadas para que a obtenção por força-bruta funcionasse.

A recomendação da empresa é para que os usuários instalem as atualizações mais recentes do Kaspersky Password Manager, que já contam com a correção e devem ser baixadas automaticamente em todos os sistemas operacionais. Além disso, notificações com orientações também serão exibidas sempre que o sistema identificar que uma senha gerada possa estar vulnerável.

Continua após a publicidade

Fonte: Ledger Donjon, Kaspersky