Halladas vulnerabilidades en 9 de los gestores de contraseñas más populares
Desde hace años se recomienda el uso de gestores de contraseñas (también por nuestra parte) para los usuarios que tienen que gestionar una gran cantidad de cuentas, las cuales usan para acceder a servicios de todo tipo (tiendas, foros, redes sociales, etc).
A día de hoy navegadores web como Google Chrome y Firefox ofrecen servicios de sincronización que permiten almacenar contraseñas en la nube con el fin de poder usarlas en distintos ordenadores o sistemas operativos, sin embargo, estos solo pueden sincronizar con la misma aplicación disponible en distintos sistemas operativos (aunque el servicio de Google también funciona con Chromium “puro”). Para poder sincronizar entre distintos navegadores se necesita un servicio de terceros, como Dashlane o LastPass.
Los gestores de contraseñas también tienen sus detractores, ya que un ataque hacker o fallo de seguridad puede dejar expuestos unos datos de usuario que tendrían que estar a buen recaudo, y esos temores no está para nada infundados.
Los miembros del equipo TeamSIK, perteneciente al Instituto para la Seguridad de la Información y la Tecnología de Fraunhofer, en Alemania, ha publicado recientemente un informe en el que se muestran fallos de seguridad hallados en los principales gestores de contraseñas disponibles para Android. Los gestores examinados fueron LastPass, Keeper, 1Password, My Passwords, Dashlane Password Manager, Informaticore’s Password Manager, F-Secure KEY, Keepsafe y Avast Passwords, los cuales han sido instalados entre 100.000 y 50 millones de veces según el caso de cada aplicación.
TeamSIK es totalmente contundente en sus conclusiones:
El resultado general sería extremadamente preocupante y muestra que los gestores de contraseñas, a pesar de sus reclamos, no ofrecen suficientes mecanismos de protección para las contraseñas y credenciales almacenadas.
Los investigadores han descubierto al menos una vulnerabilidad en cada de una de las aplicaciones examinadas, sumando 26 problemas de seguridad en total. Por suerte, todos fueron corregidos antes de la publicación del informe, debido a que TeamSIK reportó antes los problemas a los encargados de los gestores de contraseñas.
Entre los fallos encontrados había ataques utilizando datos residuales y sniffing del portapapeles. Algunos gestores almacenaban la clave maestra en texto plano e incluso exponían la clave de cifrado en el mismo código de la aplicación. Por ejemplo, un fallo grave hallado en LastPass e Informaticore’s Password Manager era debido a que las aplicaciones almacenaban la clave maestra de forma cifrada junto con la clave de cifrado, la cual estaba en el código de la propia aplicación. En otros casos se ha visto cómo se podían extraer fácilmente las contraseñas mediante el uso de malware. Además, a todo eso se puede sumar el auto rellenado, que se puede ser abusado mediante un ataque de phishing.
Estas son algunas de las vulnerabilidades halladas por TeamSIK:
MyPasswords:
- Leer datos privados desde la aplicación.
- Descifrado de la clave maestra en la aplicación.
- Desbloqueo de características premium de forma gratuita.
1Password:
- Filtración del subdominio de contraseñas en el navegador interno de 1Password.
- Salto de HTTPS a HTTP en la URL empleada por el navegador interno de 1Password.
- Títulos y URL no cifrados en la base de datos de 1Password.
- Filtración de información al mismo vendedor del servicio.
LastPass:
- Clave maestra hallada en el mismo código de la aplicación, junto con la clave de descifrado.
- Fallos en la privacidad y filtración de datos en el navegador de búsqueda.
- Lectura de datos privados, como la contraseña maestra, desde el gestor de contraseñas.
Informaticore:
- Almacenamiento de credenciales inseguro en el gestor de contraseñas de Windows.
Keeper:
- Se pueden saltar las preguntas de seguridad del gestor de contraseñas.
- Inyección de datos sin necesidad de hacer uso de la clave maestra.
Dashlane:
- Leer datos privados desde la carpeta de la aplicación.
- Filtrado de información del buscador de Google desde el navegador de Dashlane.
- Ataque con datos residuales que pueden permitir la extracción de la clave maestra.
- Filtrado del subdominio de la contraseña.
F-Secure:
- Almacenamiento de credenciales inseguro.
Ocultación de imágenes con Keepsafe:
- Almacenamiento de contraseñas en texto plano.
Contraseñas Avast:
- Robo de la contraseña de la aplicación del gestor de contraseñas de Avast.
- URL por defecto insegura para Sitios Populares.
- Rotura de la implementación de la comunicación segura.
Fuente | The Hacker News
Más información | TeamSIK
Via: muyseguridad.net