Gerenciadores de Senha Populares Falham em Testes de Segurança Críticos, Revela Pesquisa

Vulnerabilidades em Serviços de Senha Desmentem Promessas de Segurança

Pesquisadores das Universidades de Zurique e da Svizzera Italiana identificaram falhas significativas em gerenciadores de senha amplamente utilizados, como Bitwarden, LastPass e Dashlane. Os testes, que resultaram em 27 ataques bem-sucedidos, demonstraram que a promessa de criptografia ‘conhecimento zero’ – onde nem mesmo a empresa pode acessar os dados do usuário – é fragilizada por táticas elaboradas.

As descobertas, divulgadas após um período de 90 dias para que as empresas pudessem corrigir as vulnerabilidades, revelaram que falhas na verificação da integridade dos dados do servidor central podem permitir que atacantes manipulem informações sensíveis. Essa ‘falta de integridade no texto cifrado’ e a ‘ligação criptográfica’ inadequadas permitem que metadados, como URLs de sites, sejam associados de forma insegura a senhas criptografadas.

Como as Falhas Foram Exploradas

Em aplicativos como Bitwarden e LastPass, os pesquisadores demonstraram como um invasor com acesso ao servidor pode trocar os componentes de um login (nome de usuário, senha e URL). Ao mover a senha criptografada para a posição da URL, o serviço, ao tentar carregar o ícone do site, acidentalmente envia a senha descriptografada para o servidor do atacante.

Outras táticas exploraram as funcionalidades de recuperação e compartilhamento de conta. Um dos ataques induziu o usuário a ingressar em uma organização falsa. Como o aplicativo não autenticava adequadamente as chaves públicas, ele confiava cegamente no servidor, encriptando a chave mestra junto com a chave do atacante e entregando aos hackers um texto cifrado para recuperação.

Correções e Recomendações para Usuários

Dashlane e Bitwarden já lançaram atualizações para mitigar as falhas identificadas. LastPass também foi notificado. Em contraste, o gerenciador de senhas 1Password se destacou por sua segurança, utilizando a tecnologia de Chave Secreta, que mantém o código de acesso aos dados diretamente no dispositivo do usuário, dificultando ataques baseados em servidores.

Os pesquisadores recomendam fortemente o uso de serviços com tecnologia de Chave Secreta ou a adoção de chaves de segurança de hardware, como a YubiKey, para adicionar uma camada física de proteção. Usuários dos aplicativos afetados são aconselhados a atualizá-los imediatamente para as versões mais recentes e seguras.

Fonte: canaltech.com.br