Programele de tip password manager sunt vulnerabile la malware

Programele de tip password manager sunt vulnerabile la malware
17:30 20.02.2019

Programele de tip password manager păreau a fi o soluție simplă și sigură pentru securitatea online, dar se pare și ele pot fi vulnerabile la atacuri malware, arată un nou studiu.

Patru astfel de programe pentru Windows 10 ar putea fi vulnerabile la atacurile hackerilor pentru că software-ul scurge informațiile în memoria PC-ului, iar asta poate fi o veste cât se poate de proastă dacă computerul este infectat cu un malware. Un hacker ar putea avea așa acess la acele date.

Studiul vine de la Independent Security Evaluators (ISE), o companie din Baltimore, SUA, și a examinat cât de sigure sunt 1Password, Dashlane, KeePas și LastPass. Cercetătorii au fost surprinși să afle că produsele nu-și criptau datele de fiecare dată și chiar și parola principală (master password), care poate fi folosită pentru a avea acces la toate celălalte parole, era expusă.

De exemplu, 1Password decripta toate parolele și le încărca în memoria computerului atunci când aplicația era lansată. Datele, inclusiv parolele, rămâneau în memoria PC-ului atâta timp cât programul se afla în funcțiune. „Utilizatorul trebuia să închidă programul pentru ca aceste informații confidențiale să fie șterse din memoria computerului”, a spus unul dintre cercetători.

Dashlane, pe de altă parte, expunea doar pe rând parolele, în funcție de ce parolă avea nevoie utilizatorul în acel moment. Doar în momentul când utilizatorul caută să schimbe o parolă, Dashlane expune întreaga bază într-un text simplu.

LastPass are o problemă similară și poate expune datele chiar și după ce aplicația se blochează (locked state). ISE a publicat studiul pentru a încuraja creatorii de astfel de aplicații să protejeze mai bine datele oamenilor.

Totuși, unii nu consideră acestă vulnerabilitate atât de mare. „Niciun password manager nu poate funcționa în siguranță pe un calculator compromis”, spune Jeffrey Goldberg, angajat al 1Password.

Pentru ca un hacker să fure astfel parolele trebuie să convingă victima să instaleze un malware care poate duce la probleme mai grave decât furtul de parole.

Sursa: PC Mag
loading...