CISO Advisor: 238.042 page views/mês - 89.507 usuários/mês - 5.291 assinantes

password-64047_640.jpg

Descoberta brecha em gerenciadores de senhas comerciais

Da Redação
18/03/2020

Vulnerabilidades oferecem oportunidades para que hackers obtenham credenciais de acesso a sistemas, comprometendo informações comerciais ou violando informações de funcionários

password-64047_640.jpg

Especialistas em segurança recomendam o uso de senha complexa, aleatória e exclusiva para todas as contas online, mas lembram que administrar todas elas é uma tarefa desafiadora. Daí a importância de se ter um gerenciador de senhas. Mas, pesquisadores da Universidade de York, no Reino Unido, descobriram que alguns gerenciadores de senhas comerciais (dependendo da versão) podem não ser uma garantia 100% de segurança contra ataques cibernéticos.

Depois de criarem um aplicativo mal-intencionado para se passar por um aplicativo legítimo do Google, eles conseguiram enganar dois em cada cinco dos gerenciadores de senhas a venda no mercado, que também foram testados para fornecer uma senha.

A equipe de pesquisadores descobriu que alguns dos gerenciadores de senhas usavam critérios fracos para identificar um aplicativo e o nome de usuário e senha para sugerir o preenchimento automático. Essa constatação fez com que os pesquisadores representassem um aplicativo legítimo simplesmente criando um aplicativo não autorizado com um nome idêntico.

O autor do estudo, Dr. Siamak Shahandashti, do Departamento de Ciência da Computação da Universidade de York, ressaltou que as vulnerabilidades nos gerenciadores de senhas oferecem oportunidades para que hackers obtenham credenciais de acesso a sistemas, comprometendo informações comerciais ou violando informações de funcionários.

“Nosso estudo mostra que um ataque de phishing de um aplicativo mal-intencionado é altamente viável. Se uma vítima for levada a instalar um aplicativo mal-intencionado, ela poderá se apresentar como uma opção legítima no prompt de preenchimento automático e ter uma grande chance de sucesso”, alertou. “À luz das vulnerabilidades em alguns gerenciadores de senhas comerciais expostos pelo nosso estudo, sugerimos que eles apliquem critérios de correspondência mais rígidos que não sejam meramente baseados no nome do pacote de um aplicativo”, completou Shahandashti.

O fundador da PasswordsCon, Per Thorsheim, disse desconhecer as diferentes maneiras pelas quais um gerenciador de senhas pode identificar corretamente um aplicativo para não ser vítima desse tipo de ataque. “Mas isso me lembra as preocupações que tivemos durante muito tempo sobre aplicativos de teclado alternativos terem acesso a qualquer coisa que você digitasse no seu telefone ou tablet”, disse ele, em entrevista à Help Net Security.

O risco apresentado pelo preenchimento automático em sites comprometidos refere-se apenas às credenciais do site, não ao “cofre” inteiro do usuário. “É sempre do interesse do usuário habilitar o dispositivo de autenticação de múltiplos fatores [MFA] para todas as contas online, incluindo o LastPass, pois ele pode protegê-las ainda mais”, disse um porta-voz do LastPass por e-mail à Help Net Security.

Outras vulnerabilidades

Os pesquisadores também descobriram que alguns gerenciadores de senhas não tinham limite no número de vezes que um PIN ou senha mestre poderia ser inserido. Isso significa que, se os hackers tivessem acesso ao dispositivo de um indivíduo, poderiam lançar um ataque adivinhando um PIN de quatro dígitos em cerca de 2,5 horas. Os pesquisadores também elaboraram uma lista de vulnerabilidades identificadas em um estudo anterior e testaram se elas foram resolvidas. Eles descobriram que, embora o mais sério desses problemas tenha sido corrigido, muitos não foram abordados. Eles informaram às empresas que desenvolvem esses gerenciadores de senhas sobre as vulnerabilidades.

Compartilhar: