Se você imagina gerenciadores de senha como cofres impenetráveis na nuvem, é hora de repensar essa ideia. Uma pesquisa das Universidades de Zurique e da Svizzera Italiana revelou que esses serviços, que prometem Encriptação Zero-Knowledge, possuem falhas críticas que podem ser facilmente exploradas.
O estudo, liderado por Kenneth Paterson, realizou 27 ataques bem-sucedidos nos aplicativos de gerenciamento de senha Bitwarden (12), LastPass (7) e Dashlane (6). Esses resultados mostram que táticas elaboradas conseguem “abrir o cofre” das senhas de usuário com relativa facilidade.
Vulnerabilidades expostas
Os resultados da pesquisa desmentem a promessa de Zero-Knowledge. Os servidores hackeados podem ser “convencidos” a trair o usuário devido à falha dos aplicativos em verificar se os dados do servidor central foram alterados. Isso é conhecido como “falta de integridade no texto cifrado” e “ligação criptográfica”, onde metadados, como a URL, não são mantidos distantes de dados sensíveis, como a senha, de maneira satisfatória.
Nos aplicativos Bitwarden e LastPass, os pesquisadores mostraram que, como os logins são guardados em partes diferentes (nome de usuário, senha e URL), um hacker no servidor consegue trocá-los. Isso permite que a senha encriptada seja movida para o lugar da URL, fazendo com que o serviço envie acidentalmente a senha desencriptada ao servidor do invasor ao carregar um ícone do site.
Outros ataques exploraram ferramentas como recuperação e compartilhamento de conta. Um deles força o usuário a se juntar a uma organização falsa: como o app não autentica chaves públicas, ele pode confiar cegamente no servidor e encriptar a chave mestra junto à chave do atacante, entregando um texto cifrado de recuperação nas mãos dos hackers.
Além disso, um problema de legado ainda mantinha métodos de segurança de 15 anos atrás ativos, permitindo a “adivinhação” de dados. Enquanto isso, o 1Password se destacou como o mais seguro, utilizando tecnologia de Chave Secreta, que mantém o código de acesso no aparelho do usuário, impossibilitando a maioria dos ataques por servidor.
Recomendações de segurança
Os pesquisadores recomendam o uso do serviço de Chave Secreta ou uma chave de segurança de hardware, como a YoubiKey, que adiciona uma camada física de segurança. Além disso, usuários dos aplicativos vulneráveis devem atualizá-los o mais rápido possível.
Opinião
A pesquisa revela a importância de repensar a segurança em serviços que lidam com dados sensíveis, reforçando a necessidade de atualizações constantes e métodos de autenticação mais robustos.
