Clicky

Encuentran vulnerabilidades en 9 populares gestores de contraseñas

vulnerabilidad en gestores de contraseñas

Algunos administradores de contraseñas de Android disponibles en Google Play son vulnerables

¿Hay algo seguro? Es 2017, y la respuesta probable sea que NO.

Asegurarnos de que nuestras contraseñas son seguras es una de las primeras líneas de defensa para nuestra computadora, correo electrónico e información contra los intentos de piratería, y los administradores o gestores de contraseñas son recomendados por muchos expertos en seguridad para mantener todas las contraseñas seguras en un solo lugar.

Los gestores de contraseñas son un software que crea contraseñas complejas, las almacena y organiza todas las contraseñas para equipos, sitios web, aplicaciones y redes, así como las recuerda en nuestro nombre.

¿Pero qué pasa si son vulnerables nuestros propios gestores de contraseñas?

Bueno, no es sólo una imaginación, ya que un nuevo informe ha revelado que algunos de los más populares administradores de contraseñas se ven afectados por vulnerabilidades críticas que pueden exponer las credenciales de usuario.

El informe, publicado el martes por un grupo de expertos en seguridad de TeamSIK del Instituto Fraunhofer de Tecnología de la Información Segura en Alemania, reveló que nueve de los más populares gestores de contraseñas de Android disponibles en Google Play son vulnerables a una o más vulnerabilidades de seguridad.

Aplicaciones populares de Password Manager para Android afectadas por uno o más defectos

El equipo examinó LastPass, Keeper, 1Password, My Passwords, Dashlane Password Manager, Informaticore's Password Manager, F-Secure KEY, Keepsafe, y Avast Passwords - cada uno de los cuales tiene entre 100.000 y 50 Millones de instalaciones.

"Los resultados generales fueron extremadamente preocupantes y revelaron que las aplicaciones de administrador de contraseñas, a pesar de sus afirmaciones, no proporcionan suficientes mecanismos de protección para las contraseñas y credenciales almacenadas", dijo TeamSIK.

En cada aplicación, los investigadores descubrieron una o más vulnerabilidades de seguridad - un total de 26 problemas - todos los cuales fueron reportados a los fabricantes de aplicaciones y se solucionaron antes de que fuera público el informe del grupo.

Claves de cifrado para la clave maestra Hard-Coded en el código de la aplicación

Según el equipo, algunas aplicaciones de administrador de contraseñas eran vulnerables a los ataques de residuos de datos y al sniffing del portapapeles. Algunas de las aplicaciones almacenaban la contraseña maestra en texto sin formato o incluso exponían las claves de cifrado en el código.

Por ejemplo, una falla de alta severidad afectó a la aplicación Password Manager de Informaticore, que se debía a que la aplicación almacenaba la contraseña maestra en forma cifrada con la clave de cifrado codificada en el propio código de la aplicación. Un error similar también se descubrió en LastPass.

De hecho, en algunos casos, las contraseñas del usuario almacenadas podrían haber sido fácilmente accesadas y exfiltradas por cualquier aplicación malintencionada instalada en el dispositivo del usuario.

Además de estos problemas, los investigadores también encontraron que las funciones de auto-relleno en la mayoría de las aplicaciones de administrador de contraseñas podrían ser abusadas para robar secretos almacenados a través de ataques de "phishing oculto".

¿Y qué es más preocupante? Cualquier atacante podría haber explotado fácilmente muchos de los defectos descubiertos por los investigadores sin necesidad de permisos de root.

Lista de gestores de contraseñas vulnerables y defectos que les afectan

Aquí está la lista de vulnerabilidades reveladas por TeamSIK en algunos de los administradores de contraseñas Android más populares:

MyPasswords

• Leer datos privados de la aplicación My Passwords
• Descifrar contraseña maestra de My Passwords App
• Desbloqueo de funciones Premium gratuitas en My Passwords

1Password

• Fuga de contraseña de subdominio en el navegador interno de 1Password
• HTTPS rebaja a URL HTTP de forma predeterminada en 1Password Internal Browser
• Leer datos privados desde la carpeta de la aplicación en 1Password Manager
• Problema de privacidad, información filtrada al proveedor 1Password Manager

LastPass

• Clave maestra codificada en LastPass Password Manager
• Privacidad, Fuga de datos en la búsqueda del navegador LastPass
• Leer datos privados (contraseña de Master almacenada) de LastPass Password Manager

Informaticore

• Almacenamiento de credenciales inseguras en Microsoft Password Manager

Keeper

• Keeper Password Manager pregunta de seguridad Bypass
• Keeper Password Manager inyección de datos sin contraseña maestra

Dashlane

• Leer datos privados desde la carpeta de la aplicación en Dashlane Password Manager
• Fuga de información de búsqueda de Google en Dashlane Password Manager Browser
• Araque residual al extraer la contraseña maestra de Dashlane Password Manager
• Fuga de contraseña de subdominio en Dashlane Internal Password Manager Browser

F-Secure KEY

• Almacenamiento de credenciales inseguras en F-Secure KEY Password Manager

Hide Pictures Keepsafe Vault

• Almacenamiento de contraseñas en texto plano de Keepsafe

Avast Passwords

• Robo de contraseña de la aplicación de Avast Password Manager
• Inseguridad de las URL predeterminadas para sitios populares en Avast Password Manager
• Implementación de comunicación segura rota en Avast Password Manager

Los investigadores también van a presentar sus conclusiones en la conferencia de HITB el próximo mes. Para obtener más detalles técnicos sobre cada vulnerabilidad, los usuarios pueden dirigirse al informe TeamSIK.

Dado que los proveedores han abordado todos estos problemas mencionados anteriormente, se recomienda encarecidamente a los usuarios que actualicen lo antes posible sus aplicaciones de administrador de contraseñas, ya que ahora los hackers tienen toda la información que necesitan para explotar versiones vulnerables de las aplicaciones de administrador de contraseñas.

Jesus_Caceres