Менеджер паролей Kaspersky Password Manager долгое время генерировал не просто случайные пароли, а жестко привязанные к секунде в момент их создания. Эта брешь была найдена исследователями кибербезопасности из команды Ledger Donjon в 2019 году, но публично известно о ней стало только сейчас – когда ошибка уже исправлена.
Как отмечают исследователи, пароли пусть и выглядели случайными, на самом деле повсеместно создавались одинаковыми в определенную секунду времени. Таким образом два пользователя, генерирующие пароль в одну и ту же секунду получали одинаковый результат
Происходило это из-за того, что текущая секунда времени использовалась программой как seed – ключ генерации для пароля на котором работал Kaspersky Password Manager. Однако главная проблема заключается не в том, что два разных человека могли получить одинаковые пароли, а в том, что по такому принципу можно сгенерировать и создать базу из паролей, которые когда-либо создавал Kaspersky Password Manager.
Всего в период с 2011 по 2020 год прошло 315 619 200 секунд. Именно столько паролей мог сгенерировать менеджер и все их можно узнать. Несмотря на такое большое количество, зная это, злоумышленник без проблем смог бы подобрать нужный пароль с помощью брута за несколько минут.
В пресс-службе «Лаборатории Касперского» редакции «Код Дурова» пояснили, что проблема затронула лишь тех пользователей, которые генерировали пароли низкого уровня сложности:
«Лаборатория Касперского» исправила проблему безопасности в Kaspersky Password Manager, которая потенциально могла позволить третьим лицам вычислить пароли, которые генерировало приложение.
Однако эта уязвимость могла быть использована лишь в том маловероятном случае, если злоумышленник знал информацию об учетной записи пользователя и точное время (с точностью до секунды), когда был создан пароль. Кроме того, потенциальная жертва должна была установить настройки низкой сложности генерируемых паролей, например пароли только из цифр или только из спецсимволов.
Компания выпустила исправление для продукта и внедрила механизм, благодаря которому пользователи получают соответствующие уведомления, если сгенерированный пароль недостаточно надёжен и его следует поменять
Мы рекомендуем нашим пользователям установить новейшие обновления. Чтобы упростить этот процесс, в наши продукты для домашних пользователей включена функция автоматического обновления, – заявили п пресс-службе «Лаборатории Касперского».
Читать первым в Telegram-канале «Код Дурова»