Οι ερευνητές του ISE δήλωσαν την Τρίτη ότι οι password managers 1Password, KeePass, LastPass και Dashline έχουν ευπάθειες που θα μπορούσαν να επιτρέψουν σε κακόβουλα λογισμικά, να κλέψουν είτε τον κύριο κωδικό πρόσβασης είτε τους προσωπικούς κωδικούς πρόσβασης, που αποθηκεύονται από τις εφαρμογές. Το πρόβλημα εδώ είναι κυρίως η διαχείριση μνήμης. Σε κάποιο βαθμό, κάθε ένας από τους τέσσερις password managers άφησε τους κωδικούς πρόσβασης – είτε τον κύριο κωδικό είτε τα προσωπικά διαπιστευτήρια- στη μνήμη. Αυτό θα μπορούσε ενδεχομένως να επιτρέψει σε ένα συγκεκριμένο κακόβουλο λογισμικό με δικαιώματα διαχειριστή, να αποκτήσει αυτούς τους κωδικούς πρόσβασης.
Το θέμα εδώ είναι να αποδείξουμε ότι οι χάκερς μπορούν ενδεχομένως να απομακρύνουν όλα τα στοιχεία σύνδεσής σας από τον password manager με μία κίνηση. Πρέπει να γίνει μια προειδοποίηση στους προγραμματιστές των passphrase managers και στους ερευνητές malware.
Αν ένα κακόβουλο λογισμικό έχει εισβάλλει στον υπολογιστή σας, θα μπορούσε πιθανώς να υποδυθεί τον password manager σας και να κλέψει τον βασικό κωδικό πρόσβασης με αυτόν τον τρόπο. Αλλά από την άλλη, γιατί να μπει σε αυτόν τον κόπο αν μπορεί να βρει αυτό που θέλει και στη RAM?
Επομένως, αυτό που λέμε εδώ είναι ότι δεν χρειάζεται να πανικοβληθείτε αυτή τη στιγμή – είναι κάτι όμως που οι σχεδιαστές των password managers πρέπει να γνωρίζουν.
Η ομάδα σημείωσε ότι οι password managers δεν είναι ευάλωτοι όταν δεν εκτελούνται, όπως τη στιγμή μετά την εκκίνηση του συστήματος, αλλά εκτίθενται σε κίνδυνο όταν ο χρήστης ανοίξει τον manager και πληκτρολογήσει τον κύριο κωδικό πρόσβασης. Αυτό σημαίνει ότι οι κωδικοί πρόσβασης, που είναι αποθηκευμένοι στο δίσκο είναι ασφαλείς, τουλάχιστον.
“Όλοι οι password managers , που εξετάστηκαν, προστάτευσαν επαρκώς τα μυστικά των χρηστών, όσο βρίσκονταν σε κατάσταση “not running”. Δηλαδή, αν έπρεπε να εξαχθεί μια βάση δεδομένων κωδικών πρόσβασης από το δίσκο και υπήρχε ένας ισχυρός κύριος κωδικός πρόσβασης, δεν θα μπορούσε να γίνει η εξαγωγή”, εξήγησε η ομάδα ISE.
Οι password managers δεν βελτιώνονται απαραίτητα στις νεότερες εκδόσεις τους. Το ISE μελέτησε δύο εκδόσεις του 1Password (4.6.2.626 και 7.2.576) και διαπίστωσε ότι η προηγούμενη έκδοση ήταν στην πραγματικότητα καλύτερη στην προστασία των κωδικών πρόσβασης από τη νεότερη έκδοση. Αυτό οφείλεται στο γεγονός ότι η μεταγενέστερη έκδοση φόρτωσε όλους τους κωδικούς πρόσβασης στη μνήμη ως απλό κείμενο, μόλις καταχωρήθηκε ο κύριος κωδικός πρόσβασης.
Ορισμένα από τα ελαττώματα που έχουν περιγραφεί, έχουν ήδη διορθωθεί. Ένας εκπρόσωπος του LastPass είπε στο The Register ότι είχε τακτοποιήσει τα θέματα μνήμης, που υπήρχαν στα προϊόντα του, και ότι ακόμα και όταν το ελάττωμα ήταν παρόν, απαιτούνταν από τον εισβολέα να έχει τοπική πρόσβαση στο μηχάνημα με άδεια διαχειριστή για να μπορέσει να κάνει ο,τιδήποτε.
Η έκθεση δεν υποδηλώνει με κανένα τρόπο ότι δεν πρέπει να χρησιμοποιείτε password manager. Ακόμη και με τα μικρά ελαττώματα που βρήκε η ομάδα του ISE, οι password managers εξακολουθούν να είναι ο καλύτερος τρόπος για να διατηρήσετε τα διαπιστευτήριά σας ασφαλή και οι ειδικοί τους συνιστούν ως έναν τρόπο διαχείρισης πολλών μοναδικών και ισχυρών passphrases για τους λογαριασμούς σας στο διαδίκτυο.
