Alguns gerenciadores de senhas comerciais podem ser vulneráveis ​​a ataques cibernéticos por aplicativos falsos, novas pesquisas sugerem.

Os especialistas em segurança recomendam o uso de um complexo, senha aleatória e única para cada conta online, mas lembrá-los de todos seria uma tarefa desafiadora. É aí que os gerenciadores de senhas são úteis.

Cofres criptografados acessados ​​por uma única senha mestre ou PIN, eles armazenam e preenchem automaticamente as credenciais do usuário e são altamente recomendados pelo National Cyber ​​Security Center do Reino Unido.

Contudo, pesquisadores da Universidade de York mostraram que alguns gerenciadores de senhas comerciais podem não ser uma forma estanque de garantir a segurança cibernética.

Depois de criar um aplicativo malicioso para se passar por um aplicativo legítimo do Google, eles foram capazes de enganar dois em cada cinco dos gerenciadores de senhas testados, dando-lhes uma senha.

A equipe de pesquisa descobriu que alguns dos gerenciadores de senhas usaram critérios fracos para identificar um aplicativo e qual nome de usuário e senha sugerir para preenchimento automático. Essa fraqueza permitiu que os pesquisadores se passassem por um aplicativo legítimo simplesmente criando um aplicativo nocivo com um nome idêntico.

Autor sênior do estudo, Dr. Siamak Shahandashti, do Departamento de Ciência da Computação da Universidade de York, disse:"Vulnerabilidades em gerenciadores de senhas oferecem oportunidades para que hackers extraiam credenciais, comprometer informações comerciais ou violar informações de funcionários. Porque eles são os guardiões de muitas informações confidenciais, uma análise de segurança rigorosa dos gerenciadores de senhas é crucial.

"Nosso estudo mostra que um ataque de phishing de um aplicativo malicioso é altamente viável - se uma vítima for induzida a instalar um aplicativo malicioso, ela poderá se apresentar como uma opção legítima no prompt de preenchimento automático e terá uma grande chance de sucesso."

"À luz das vulnerabilidades em alguns gerenciadores de senhas comerciais que nosso estudo expôs, sugerimos que eles precisem aplicar critérios de correspondência mais rígidos que não se baseiem apenas no suposto nome do pacote de um aplicativo. "

Os pesquisadores também descobriram que alguns gerenciadores de senhas não tinham um limite para o número de vezes que um PIN ou senha mestre podiam ser inseridos. Isso significa que se os hackers tivessem acesso ao dispositivo de um indivíduo, eles poderiam lançar um ataque de "força bruta", adivinhar um PIN de quatro dígitos em cerca de 2,5 horas.

Além dessas novas vulnerabilidades, os pesquisadores também elaboraram uma lista de vulnerabilidades divulgadas anteriormente, identificadas em um estudo anterior, e testaram se haviam sido resolvidas. Eles descobriram que, embora o mais sério desses problemas tenha sido corrigido, muitos não foram abordados.

Os pesquisadores revelaram essas vulnerabilidades aos gerenciadores de senhas.

Autor principal do estudo, Michael Carr, que realizou a pesquisa enquanto estudava para seu mestrado em segurança cibernética no Departamento de Ciência da Computação, Universidade de York, disse:"Novas vulnerabilidades foram encontradas por meio de testes extensivos e divulgadas de forma responsável aos fornecedores. Algumas foram corrigidas imediatamente, enquanto outras foram consideradas de baixa prioridade.

"Mais pesquisas são necessárias para desenvolver modelos de segurança rigorosos para gerenciadores de senhas, mas ainda assim aconselharíamos indivíduos e empresas a usá-los, pois continuam sendo uma opção mais segura e utilizável. Embora não seja impossível, os hackers teriam que lançar um ataque bastante sofisticado para acessar as informações que armazenam. "

Revisitando vulnerabilidades de segurança em gerenciadores de senhas comerciais será apresentado na 35ª Conferência Internacional sobre Segurança de Sistemas de TIC e Proteção de Privacidade (IFIP SEC 2020) em setembro, 2020.