Em março de 2019, a empresa de segurança Kaspersky Lab lançou uma atualização para seu software de gerenciamento de senhas (Kaspersky Password Manager, ou KPM) prometendo identificar senhas fracas e gerar substituições fortes.
Alguns meses depois, a equipe de segurança da Donjon descobriu que o KPM não gerenciava nenhuma das tarefas muito bem. Mais precisamente, o software usava um gerador de números pseudoaleatórios (PRNG) — o qual, na realidade, era insuficientemente aleatório para criar senhas fortes.
Desde então, o KPM tem sugerido senhas que podem ser facilmente quebradas por softwares maliciosos — sem sinalizar as senhas fracas para seus clientes. Por conta disso, a Donjon decidiu divulgar quais problemas acometem essa geração de senhas.
O [problema] mais crítico é que ele usava um PRNG não adequado para propósitos criptográficos. Sua única fonte de entropia era a hora atual. Todas as senhas que ele criava podiam ser alvo de [ataque] força bruta em segundos.
Usar a hora atual do sistema como valor inicial aleatório, de acordo com os pesquisadores de segurança, significa que o KPM gerará senhas idênticas a qualquer momento em qualquer lugar do mundo.
As consequências são obviamente ruins: todas as senhas podem ser submetidas a [ataque de] força bruta. Por exemplo, existem 315.619.200 segundos entre 2010 e 2021, então o KPM pode gerar no máximo 315.619.200 senhas para um determinado conjunto de caracteres. [O ataque de] força bruta leva apenas alguns minutos para descobri-la.
Ainda de acordo com as informações, se o tempo de criação de uma conta for conhecido (algo comumente exibido em fóruns online), o tempo necessário para ataques de força bruta desvendarem a senha pode ser reduzido para apenas alguns segundos.
Todas as versões do KPM (para iOS, Android e Windows) foram afetadas. A Kaspersky reconheceu os problemas e disse que agora aplica uma nova lógica na geração das senhas — é recomendável, no entanto, alterar as senhas geradas pelo software antes de outubro de 2019 e que ainda não foram modificadas.
O relatório completo com as falhas conhecidas está disponível nessa página.
Atualização, por Eduardo Marques08/07/2021 às 15:00
Em contato com o MacMagazine, a Kaspersky deu a seguinte declaração:
A Kaspersky corrigiu o problema de segurança no Kaspersky Password Manager, que poderia permitir que um invasor descobrisse as senhas geradas pela ferramenta. Isso só ocorreria no caso improvável de o invasor saber as informações da conta do usuário e a hora exata em que uma senha foi gerada. Também era necessário que o alvo diminuísse as configurações de complexidade de senha.
A empresa emitiu uma correção e incorporou um mecanismo para notificar os usuários caso uma senha específica gerada pela ferramenta pudesse estar vulnerável, solicitando assim sua alteração. Recomendamos que nossos clientes instalem as atualizações mais recentes. Para tornar o processo de recebimento de atualizações mais fácil, nossos produtos oferecem atualizações automáticas.
Requer o iOS 15.0 ou superior
NOTA DE TRANSPARÊNCIA: O MacMagazine recebe uma pequena comissão sobre vendas concluídas por meio de links deste post, mas você, como consumidor, não paga nada mais pelos produtos comprando pelos nossos links de afiliado.
via ZDNet
