Encontrada vulnerabilidade em gerenciadores de senha online

Um grupo de cientistas da Universidade da Califórnia, em Berkeley, nos Estados Unidos, analisou cinco gerenciadores de senha populares na internet e encontrou vulnerabilidades perigosas em funcionalidades como senha descartável (em inglês: One-time password – OTP), senhas compartilhadas e “bookmarklets”, usados para autenticação em browsers móveis.

Os gerenciadores analisados foram LastPass, RoboForm, My1Login, PasswordBox e NeedMyPassword, todos executados em browsers. Eles tinham falhas que permitiam a um intruso explorar e roubar elementos de autenticação dos usuários em sites na web.

“As causas das vulnerabilidades são diversas: de erros de lógica e autorização a problemas com modelos de segurança web”, informaram os pesquisadores, num estudo que será apresentado em agosto no Usenix Security Symposium, em San Diego, nos Estados Unidos.

“O nosso trabalho sugere que a segurança continua a ser um desafio para essas aplicações usadas para gerenciar senhas”, completam os cientistas, embora o estudo tenha sido feito durante o ano de 2013.

A variedade de vulnerabilidades descobertas foi suficiente para os cientistas considerarem que, no geral, as aplicações não acompanharam a evolução de riscos de segurança.

“Essas aplicações manipulam dados excepcionalmente sensíveis, as ‘chaves do reino’, por assim dizer”, afirmou Devdatta Akhawe, coautor da investigação.

Os analistas também disseram que cabe a seus fornecedores ter uma atitude defensiva mais elevada quando desenvolverem as aplicações e adotarem princípios clássicos, como a concessão do menor número possível de privilégios, o uso de protocolos abertos e a implantação de medidas profundas de defesa.