Um pesquisador de segurança identificou duas falhas no Kaspersky Password Manager, o gerenciador de senhas oferecido pela empresa. Elas fazem com que ele gere senhas mais fracas do que deveria, o que facilita a vida de hackers que tentarem invadir seu sistema.
Segundo Jean-Baptiste Bédrune, pesquisador chefe da Ledger Donjon, o problema principal reside no fato de que o Kaspersky Password Manager usava a data e hora atuais (timestamp) como um parâmetro para a criação das senhas.
Leia também
- Golpes financeiros em smartphones são reflexo de má segurança de empresas e usuários, diz especialista
- 22% dos computadores no mundo ainda rodam o Windows 7
- Malware brasileiro está atacando consumidores; ameaça visa credenciais de bancos e carteiras digitais
“O grande erro do KPM foi o usar o horário atual em segundos como semente em um gerador aleatório de números Mersenne Twister. Isso significa que todas as instâncias do Kaspersky Password Manager no mundo vão gerar exatamente a mesma senha em determinado segundo”, explicou o especialista.
“Mersenne Twister”, é um termo muito comum para desenvolvedores e profissionais de segurança digital: é possivelmente o parâmetro mais conhecido e mais usado para a geração de combinações numéricas aleatórias, uma premissa muito importante para a configuração de senhas mais poderosas.
Simplificando para entendimento: “imagine que existam 315.619.200 de segundos entre ‘2010’ e ‘2021’”, disse Bédrune. “Assim, o KPM poderia gerar, no máximo, esse mesmo número de senhas para cada pedido. Adivinhar ou quebrar uma senha por força bruta neste parâmetro não leva mais do que alguns minutos”.
O segundo problema identificado pelo pesquisador é o fato do Kaspersky Password Manager evitar os chamados “ataques de dicionário” ao usar combinações de letras que não existem em palavras comuns (“qz”, “zx” e assim por diante). Isso porque esse tipo de ataque, também de natureza de “força bruta”, aposta em parâmetros como combinações comuns de letras para adivinhar uma senha.
Entretanto, se um hacker já sabe que sua vítima usa o KPM, tudo o que ele precisa fazer é ajustar seus parâmetros para procurar sugestões de senha que utilizem combinações inexistentes.
Em ambos os casos, Bédrune ressaltou que todas as senhas geradas pelo programa até outubro de 2019 podem ser quebradas por força bruta.
O outro lado
A Kaspersky, em comunicado, reconheceu os problemas apontados por Bédrune e confirmou que já atualizou seu sistema de lógica na geração de senhas. A empresa recomenda, porém, que se você usa o Kaspersky Password Manager desde antes de outubro de 2019, você revise e atualize suas credenciais.
Abaixo, o comunicado da empresa segue na íntegra:
“A Kaspersky corrigiu um problema de segurança no Kaspersky Password Manager, que potencialmente permitia a um invasor descobrir senhas geradas pela ferramenta. Esse problema só era possível de ser aproveitado no evento improvável de o invasor conhecer as informações de conta do usuário e o momento exato em que uma senha foi criada. Ele também exigia que o alvo reduzisse a complexidade de seus ajustes de segurança.
A empresa já distribuiu uma atualização para o produto e incorporou um mecanismo que notifica usuários se uma senha específica gerada por ele possa estar vulnerável, recomendando a alteração.
Nós recomendamos a todos os usuários que instalem a atualização. Para facilitar este processo, nossos produtos oferecem suporte a updates automáticos”.
Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!
Tags: