Εάν χρησιμοποιείτε το Kaspersky Password Manager (KPM) στο iPhone σας, ίσως χρειαστεί να δημιουργήσετε νέους κωδικούς πρόσβασης. Ένας ερευνητής ασφαλείας ανακάλυψε δύο ελαττώματα που θα μπορούσαν να επιτρέψουν σε έναν εισβολέα να δοκιμάσει τουλάχιστον 100 κωδικούς πρόσβασης για να βρει τον δικό σας.
Δείτε επίσης: iOS bug απενεργοποιεί μόνιμα το Wi-Fi σε iPhone!
Τα ελαττώματα ίσχυαν για κωδικούς πρόσβασης που δημιουργήθηκαν έως τον Οκτώβριο του 2019.
Το ZDNet αναφέρει ότι υπήρχαν δύο προβλήματα. Το κύριο ήταν ότι η εφαρμογή χρησιμοποίησε τον χρόνο ως seed.
Το μεγάλο λάθος που έκανε το KPM, ήταν ότι χρησιμοποιούσε τον τρέχοντα χρόνο συστήματος σε δευτερόλεπτα ως seed σε μια γεννήτρια ψευδοτυχαίων αριθμών Mersenne Twister.
«Αυτό σημαίνει ότι κάθε χρήση του Kaspersky Password Manager στον κόσμο θα δημιουργήσει τον ίδιο ακριβώς κωδικό πρόσβασης σε ένα δεδομένο δευτερόλεπτο», δήλωσε ο Jean-Baptiste Bédrune.
Δείτε ακόμα: Kaspersky: Το 33,4% των υπολογιστών ICS υπέστη hack το H2 του 2020!
Επειδή το πρόγραμμα έχει ένα animation που διαρκεί περισσότερο από ένα δευτερόλεπτο κατά τη δημιουργία ενός κωδικού πρόσβασης, ο Bédrune είπε ότι αυτό θα μπορούσε να είναι ο λόγος για τον οποίο δεν εντοπίστηκε αυτό το ζήτημα.
«Οι συνέπειες είναι προφανώς κακές: κάθε κωδικός πρόσβασης μπορεί να είναι bruteforced», είπε.
«Για παράδειγμα, υπάρχουν 315619200 δευτερόλεπτα μεταξύ 2010 και 2021, οπότε το KPM θα μπορούσε να δημιουργήσει έως 315619200 κωδικούς πρόσβασης για ένα δεδομένο charset. Το Bruteforcing τους διαρκεί λίγα λεπτά.»
Κατά ειρωνικό τρόπο, ένα σφάλμα στον κώδικα κατέληξε να εισάγει μια επιπλέον μεταβλητή που μετριάζει το πρόβλημα σε ορισμένες περιπτώσεις.
Δείτε επίσης: Peloton Bike +: Σφάλμα επιτρέπει σε hackers να πάρουν τον πλήρη έλεγχο
Ένα δεύτερο ελάττωμα ήταν λιγότερο πιθανό να χρησιμοποιηθεί στην πράξη, καθώς θα μπορούσε να βοηθήσει μόνο έναν εισβολέα που ξέρει ότι χρησιμοποιήσατε το KPM. Για να καταπολεμήσει τις επιθέσεις dictionary, το KPM δημιούργησε κωδικούς πρόσβασης που χρησιμοποιούν ομαδοποιήσεις γραμμάτων που δεν βρέθηκαν σε λέξεις, οι όπως qz ή zr. Το πρόβλημα είναι, εάν ένας εισβολέας ξέρει ότι χρησιμοποιείτε το KPM, μπορεί αντ ‘αυτού να τοποθετήσει μια επίθεση brute-force με αυτούς τους συνδυασμούς, η οποία μπορεί στην πραγματικότητα να πάρει λιγότερο χρόνο από μια τυπική επίθεση dictionary.
Το Kaspersky έχει αναγνωρίσει τα προβλήματα και είπε ότι τώρα εφαρμόζεται νέα λογική. Ωστόσο, εάν χρησιμοποιούσατε το KPM πριν από τον Οκτώβριο του 2019, θα πρέπει να αλλάξετε τους κωδικούς πρόσβασής σας.
 στο iPhone σας, ίσως χρειαστεί να δημιουργήσετε νέους κωδικούς πρόσβασης. Ένας){kind=link}