Um grupo de cientistas da Universidade da Califórnia, em Berkeley, nos Estados Unidos, analisou cinco gerenciadores de senha populares na internet e encontrou vulnerabilidades perigosas em funcionalidades como senha descartável (em inglês: One-time password – OTP), senhas compartilhadas e “bookmarklets”, usados para autenticação em browsers móveis.
Os gerenciadores analisados foram LastPass, RoboForm, My1Login, PasswordBox e NeedMyPassword, todos executados em browsers. Eles tinham falhas que permitiam a um intruso explorar e roubar elementos de autenticação dos usuários em sites na web.
“As causas das vulnerabilidades são diversas: de erros de lógica e autorização a problemas com modelos de segurança web”, informaram os pesquisadores, num estudo que será apresentado em agosto no Usenix Security Symposium, em San Diego, nos Estados Unidos.
“O nosso trabalho sugere que a segurança continua a ser um desafio para essas aplicações usadas para gerenciar senhas”, completam os cientistas, embora o estudo tenha sido feito durante o ano de 2013.
A variedade de vulnerabilidades descobertas foi suficiente para os cientistas considerarem que, no geral, as aplicações não acompanharam a evolução de riscos de segurança.
“Essas aplicações manipulam dados excepcionalmente sensíveis, as ‘chaves do reino’, por assim dizer”, afirmou Devdatta Akhawe, coautor da investigação.
Os analistas também disseram que cabe a seus fornecedores ter uma atitude defensiva mais elevada quando desenvolverem as aplicações e adotarem princípios clássicos, como a concessão do menor número possível de privilégios, o uso de protocolos abertos e a implantação de medidas profundas de defesa.
Você já adiou uma atualização do Android porque achou que nada mudaria no celular? A…
Você usaria um @ no WhatsApp em vez de compartilhar seu número de telefone? O…
Você já ouviu que trocar de senha toda semana é uma forma de deixar suas…
Você instala um aplicativo novo, abre pela primeira vez e a tela aparece: “Permitir acesso…
Você desbloqueia o celular para responder uma mensagem rápida e, sem perceber, passa por vários…
Você abre um aplicativo para pedir comida, conferir o saldo da conta, conversar com amigos…