Si ha estado utilizando Kaspersky Password Manager (KPM) en su iPhone durante un tiempo, es posible que deba crear algunas contraseñas nuevas. a Seguridad El investigador descubrió dos fallas que podrían hacer que un atacante no intente más de 100 contraseñas para encontrar sus contraseñas …
Las fallas estuvieron presentes en las contraseñas generadas hasta octubre de 2019.
ZDNet Dice que hay dos problemas. La razón principal es que la aplicación usó el tiempo como semilla.
El gran error que cometió KPM fue a pesar de usar el tiempo actual del sistema en segundos como semilla en el generador de números pseudoaleatorios Mersenne Twister.
«Esto significa que cada instancia de Kaspersky Password Manager en el mundo generará exactamente la misma contraseña en un segundo determinado». Jean Baptiste Pedrone Él dijo.
Dado que el programa tiene una animación que tarda más de un segundo en generar una contraseña, Pedrone dijo que esa podría ser la razón por la que no se detectó este problema.
«Las consecuencias son obviamente nefastas: cada contraseña puede ser brutalmente forzada», dijo.
«Por ejemplo, hay 315619200 segundos entre 2010 y 2021, por lo que KPM puede generar como máximo 315619200 contraseñas para un conjunto de caracteres determinado. Se necesitan unos minutos para forzarlas brutalmente».
Se agregó Bédrune porque los sitios a menudo se muestran cuando se crea una cuenta, lo que podría dejar a los usuarios de KPM vulnerables a un poderoso ataque de alrededor de 100 contraseñas potenciales.
(Irónicamente, un error en el código terminó insertando una variable adicional que alivió el problema en algunos casos).
El segundo defecto tenía menos probabilidades de ser un problema en la práctica, porque solo ayudaba a un atacante que sabía que estaba usando KPM. Para vencer los ataques de diccionario, KPM ha creado contraseñas que utilizan combinaciones de caracteres que no se encuentran en palabras, como qz o zr. El problema es que si un atacante sabe que estás usando KPM, puede lanzar un ataque de fuerza bruta usando estos combos, lo que puede llevar menos tiempo que un ataque de diccionario estándar.
Kaspersky reconoció los problemas y dijo que la nueva lógica ya está en su lugar. Pero si estaba usando KPM antes de octubre de 2019, deberá cambiar sus contraseñas.
FTC: utilizamos enlaces de afiliados para obtener ingresos. Más.
Consulte 9to5Mac en YouTube para obtener más noticias de Apple: