Especialistas em segurança da ETH Zurich e da USI University identificaram vulnerabilidades graves em quatro dos mais populares gerenciadores de senhas do mercado. As falhas descobertas podem permitir que hackers acessem e alterem as credenciais dos usuários, colocando em risco milhões de contas.
Vulnerabilidades em Ferramentas Confiáveis
A análise detalhada revelou problemas em Bitwarden, LastPass, Dashlane e 1Password, todos baseados em nuvem. Devido a essas falhas, agentes maliciosos podem obter acesso não autorizado aos sistemas, visualizando e modificando as senhas armazenadas.
Os pesquisadores testaram 27 cenários de ataque bem-sucedidos, que variaram de violações de integridade a comprometimento total dos cofres virtuais das vítimas. Muitos desses cenários também permitiram a recuperação de senhas por parte dos invasores.
Falsa Sensação de Segurança
Os provedores desses gerenciadores de senhas alegam oferecer “prova de conhecimento zero”, mas as descobertas dos pesquisadores desafiam essa afirmação, especialmente no que diz respeito à criptografia de seus processos. Os cenários de ataque demonstraram que os usuários estavam sob uma falsa sensação de segurança.
Entre as observações dos especialistas, foram encontrados antipadrões de projeto e erros criptográficos, como chaves públicas não autenticadas, ausência de vínculo criptográfico entre dados e metadados, e separação insuficiente das chaves guardadas.
Simulações de Ataque e Riscos Reais
As simulações de ataques resultaram no comprometimento total de cofres por meio de processos de recuperação de contas e ausência de verificações robustas. Cofres compartilhados por meio de chaves públicas também foram violados nos ataques.
Um exemplo específico mostrou como um hacker poderia controlar o servidor ao sequestrar o cofre do usuário de maneira silenciosa, apenas com o envio de um convite, fazendo com que tudo parecesse vir de um agente legítimo.
Medidas de Proteção Recomendadas
Segundo os especialistas, as empresas por trás dos gerenciadores de senhas vulneráveis foram notificadas sobre o problema. A recomendação para evitar violações de segurança é combinar métodos de autenticação, como separação de chaves e criptografia, aumentando assim a segurança das credenciais do usuário.
Para os usuários, a dica é manter-se informado sobre as atualizações de segurança de seus gerenciadores de senhas e adotar práticas adicionais de proteção, como autenticação de dois fatores sempre que possível.