Uma pesquisa conduzida pelas Universidades de Zurique e da Svizzera Italiana revelou falhas críticas em gerenciadores de senha populares, como Bitwarden, LastPass e Dashlane. O estudo, liderado por Kenneth Paterson, demonstrou que esses aplicativos, que deveriam ser cofres impenetráveis, podem ser comprometidos por ataques sofisticados. De acordo com informações do Canaltech, 27 ataques bem-sucedidos foram realizados, sendo 12 no Bitwarden, sete no LastPass e seis no Dashlane.
Como os ataques foram realizados?
Os pesquisadores descobriram que a promessa de ‘Zero-Knowledge’, que deveria garantir que nem mesmo as empresas pudessem acessar os dados dos usuários, não se sustenta na prática. Os servidores hackeados podem ser manipulados para trair o usuário devido à falta de integridade no texto cifrado e à ligação criptográfica inadequada. Nos casos do Bitwarden e LastPass, os logins são armazenados separadamente, permitindo que hackers troquem informações e, inadvertidamente, façam com que o serviço envie senhas desencriptadas ao servidor do invasor.
Quais são as recomendações dos pesquisadores?
Além dos ataques mencionados, outras vulnerabilidades foram exploradas, como a recuperação e compartilhamento de contas. Um dos métodos descobertos envolvia forçar o usuário a se juntar a uma organização falsa, explorando a falta de autenticação de chaves públicas. Os pesquisadores recomendam o uso de serviços como o 1Password, que utiliza a tecnologia de Chave Secreta, armazenando o código de acesso no dispositivo do usuário e, assim, prevenindo ataques por servidor. Outra recomendação é o uso de chaves de segurança de hardware, como a YoubiKey, que adiciona uma camada física de proteção.
O que as empresas fizeram após a descoberta?
Após a descoberta das falhas, um período de 90 dias foi respeitado para que as empresas pudessem corrigir as vulnerabilidades antes da divulgação pública dos resultados. Dashlane e Bitwarden já lançaram atualizações em resposta às descobertas. Os usuários dos aplicativos vulneráveis são fortemente aconselhados a atualizá-los o mais rápido possível para garantir a segurança de suas informações.
Fonte original: Canaltech
