Esta enorme exploração do gerenciador de senhas pode nunca ser consertada
Tem sido alguns meses ruins para gerenciadores de senhas – embora principalmente apenas para o LastPass. Mas após as revelações de que o LastPass havia sofrido uma grande violação , a atenção agora está voltada para o gerenciador de código aberto KeePass.
Têm surgido acusações de que uma nova vulnerabilidade permite que hackers roubem sub-repticiamente todo o banco de dados de senhas de um usuário em texto simples não criptografado. Essa é uma afirmação incrivelmente séria, mas os desenvolvedores do KeePass estão contestando.
O KeePass é um gerenciador de senhas de código aberto que armazena seu conteúdo no dispositivo do usuário, em vez de na nuvem, como ofertas rivais. Como muitos outros aplicativos, no entanto, seu cofre de senha pode ser protegido com uma senha mestra.
A vulnerabilidade, registrada como CVE-2023-24055 , está disponível para qualquer pessoa com acesso de gravação ao sistema de um usuário. Uma vez obtido, um agente de ameaça pode adicionar comandos ao arquivo de configuração XML do KeePass que exporta automaticamente o banco de dados do aplicativo – incluindo todos os nomes de usuário e senhas – para um arquivo de texto sem formatação não criptografado.
Graças às alterações feitas no arquivo XML, todo o processo é feito automaticamente em segundo plano, para que os usuários não sejam alertados de que seu banco de dados foi exportado. O agente da ameaça pode então extrair o banco de dados exportado para um computador ou servidor que ele controla.
não vai ser consertado
No entanto, os desenvolvedores do KeePass contestaram a classificação do processo como uma vulnerabilidade, já que qualquer pessoa que tenha acesso de gravação a um dispositivo pode obter o banco de dados de senhas usando métodos diferentes (às vezes mais simples).
Em outras palavras, uma vez que alguém tenha acesso ao seu dispositivo, esse tipo de exploit XML é desnecessário. Os invasores podem instalar um keylogger para obter a senha mestra, por exemplo. A linha de raciocínio é que se preocupar com esse tipo de ataque é como fechar a porta depois que o cavalo fugiu. Se um invasor tiver acesso ao seu computador, corrigir a exploração do XML não ajudará.
A solução, argumentam os desenvolvedores, é “manter o ambiente seguro (usando um software antivírus, um firewall, não abrindo anexos de e-mail desconhecidos, etc.). O KeePass não pode ser executado magicamente com segurança em um ambiente inseguro.”
O que você pode fazer?
Embora os desenvolvedores do KeePass pareçam relutantes em corrigir o problema, existem etapas que você mesmo pode seguir. A melhor coisa a fazer é criar um arquivo de configuração obrigatório . Isso terá precedência sobre outros arquivos de configuração, mitigando quaisquer alterações maliciosas feitas por forças externas (como a usada na vulnerabilidade de exportação do banco de dados).
Você também precisará garantir que os usuários regulares não tenham acesso de gravação a nenhum arquivo ou pasta importante contido no diretório KeePass e que o arquivo KeePass .exe e o arquivo de configuração imposto estejam na mesma pasta.
E se você não se sentir confortável em continuar usando o KeePass, existem muitas outras opções. Tente mudar para um dos melhores gerenciadores de senhas para manter seus logins e detalhes de cartão de crédito mais seguros do que nunca.
Embora essa seja, sem dúvida, uma má notícia para o mundo dos gerenciadores de senhas, ainda vale a pena usar esses aplicativos. Eles podem ajudá-lo a criar senhas fortes e exclusivas criptografadas em todos os seus dispositivos. Isso é muito mais seguro do que usar “123456” para cada conta .