Os pesquisadores acabaram de quebrar uma das principais promessas dos gerenciadores de senhas. De acordo com um estudo, é realmente possível que um hacker acesse dados criptografados de usuários. Em certos casos específicos, a garantia do “conhecimento zero” não cumpre as suas promessas.
Uma equipe de pesquisadores da ETH Zurique e da Università della Svizzera italiana na Suíça descobriu vulnerabilidades em vários gerenciadores de senhasnomeadamente Bitwarden, Dashlane e LastPass. Segundo os pesquisadores, o “criptografia de conhecimento zero”apresentado pela maioria dos gestores de mercado, nem sempre cumpre as suas promessas.
Leia também: Esses 6 gerenciadores de senhas colocam seus dados bancários em risco
Um problema de criptografia
A criptografia de conhecimento zero é um modelo de segurança no qual seus dados são criptografados no seu próprio dispositivoantes de ser enviado para um servidor remoto. Teoricamente, o servidor recebe apenas um pacote de dados ilegível. Sob este sistema de criptografia, o provedor, seu gerente, nunca poderá ler dados que foram criptografados upstream no dispositivo. Este modelo de cibersegurança garante que um agente malicioso que conseguisse penetrar no sistema de um gestor não seria capaz de desencriptar os dados do cliente. No papel, este sistema é capaz de protegê-lo contra ataques cibernéticos.
Por exemplo, Bitwarden afirma que “nem mesmo a equipe da Bitwarden pode ler seus dados (mesmo que quisessem)”. Dashlane garante por sua vez que “Pessoas mal-intencionadas não podem roubar informações, mesmo que os servidores do Dashlane estejam comprometidos”. Finalmente, o LastPass afirma que ninguém pode acessar seu cofre, “nem mesmo LastPass”.
Leia também: Seu gerenciador de senhas não foi hackeado, é uma armadilha
25 ataques cibernéticos diferentes
Na prática, existem maneiras de descriptografar os dados do cliente do gerenciador de senhas. Os pesquisadores analisaram em profundidade a arquitetura do Bitwarden, Dashlane e LastPass, além de cinco outros gerenciadores. Após análise, perceberam que os três gestores citados nem sempre cumpriram suas promessas em termos de combate aos ataques. Os pesquisadores projetaram 25 ataques cibernéticos diferentes que mostram que um servidor comprometido pode de fato acessar seus dados, sob certas condições muito específicas.
Vários recursos, incluindo opções populares, devem ser habilitados para que um servidor invadido acesse informações criptografadas, começando pela recuperação de conta. Este recurso permite que você recupere o acesso ao seu cofre caso esqueça sua senha mestra. Com isso em mente, uma cópia criptografada da sua chave do cofre deve ser armazenada em um servidor do gerenciador. É o caso também do compartilhamento seguro, que permite enviar uma senha a um colega ou ente querido diretamente através do gestor, ou do gerenciamento de grupos, que permite agrupar os usuários em equipes, com administradores que controlam o acesso. Estes são em particular esses recursos que abrem lacunas na infraestrutura do gerenciador de senhas. O estudo aponta as funções que facilitam a vida dos internautas em detrimento da segurança dos seus dados. Podemos falar de compromissos reais entre pura segurança e praticidade.
Funções que colocam os usuários em risco
Os especialistas desenvolveram notavelmente um ataque cibernético contra o Bitwarden, baseado em a função do grupo. Ao ingressar em uma organização, seu aplicativo deverá proteger uma cópia da sua chave do cofre, caso você esqueça sua senha mestra. Para isso, a aplicação utilizará a chave pública do grupo. Ele irá solicitar essa chave ao servidor, mas não verifica se ela realmente pertence ao administrador da família, nem se foi modificada no caminho. De facto, um hacker que coloque as mãos num servidor comprometido pode roubar a chave desta forma, o que lhe dá acesso ao cofre do alvo.
No LastPass, a falha pode ser explorada sem que você faça nada de especial. Cada vez que você faz login no LastPass por meio do navegador, sua extensão LastPass entra em contato com o servidor e baixa uma lista de chaves pertencentes aos administradores da sua organização. Essas chaves são usadas apenas se um administrador precisar redefinir sua senha mestre. Este é um recurso de backup, destinado a emergências. Um invasor que controla o servidor LastPass pode substituir essas chaves de administrador pelas suas próprias. Sua extensão os baixa sem fazer perguntas. Na próxima vez que um administrador tentar redefinir sua senha, o mecanismo usará, sem saber, as chaves falsas do hacker. Este último intercepta sua chave segura de passagem e acessa todas as suas senhas.
Do lado do Dashlane, é o sistema de compatibilidade com versões antigas do gerente que representa um problema de segurança. Para permanecer compatível com essas versões mais antigas, o Dashlane ainda oferece suporte a um sistema de criptografia mais antigo. Um hacker que controla um servidor pode forçar seu aplicativo a mudar para esse sistema mais antigo e muito mais frágil. Em seguida, envia milhares de tentativas de descriptografia ao servidor. Ao analisar as respostas do servidor, ele reconstrói o conteúdo do seu cofre, peça por peça. A operação leva cerca de 125 dias. Esta é uma tática disponível até mesmo para os cibercriminosos mais bem financiados, como os patrocinados por governos.
Um argumento de marketing sem sentido
Para os investigadores, o termo “conhecimento zero” tornou-se um argumento de marketing sem sentido. Questionado pela Ars Technica, que transmite o estudo, o pesquisador Matteo Scarlata, principal autor da pesquisa, enfatiza que o “o termo conhecimento zero parece significar coisas diferentes dependendo da empresa”. O nome não tem mais muito a ver com o conceito matemático de prova de conhecimento zero (prova de conhecimento zero), do qual é inicialmente derivado. Recorde-se que o termo “conhecimento zero” foi popularizado pela SpiderOak, uma empresa americana especializada em backup online seguro, fundada em meados dos anos 2000. Diante das críticas, acabou abandonando o argumento do “conhecimento zero” alguns anos depois. SpiderOak então adotou o termo “sem conhecimento”.
Alertados pelos pesquisadores, os gestores corrigiram diversas das 25 falhas de segurança e estão trabalhando para colmatar as demais vulnerabilidades identificadas. Especialistas dizem que os ataques só precisam que um cibercriminoso comprometa um servidor, tornando o ataque particularmente complexo e sofisticado. Para se proteger, os pesquisadores sugerem desabilitar a recuperação de conta se for desnecessária, limitar o compartilhamento do cofre aos estritamente necessários, atualizar o aplicativo para se beneficiar das correções o mais rápido possível e usar uma senha mestra longa e complexa.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.
Fonte :
Ars Técnica