Encontradas diversas vulnerabilidades en Password Managers
Investigadores de la Universidad de California, Berkeley, estudiaron cinco administradores de contraseñas web y encontraron vulnerabilidades en diversas funciones. "Las causas de las vulnerabilidades son diversas y oscilan entre errores en la lógica de autorización sobre los modelos de seguridad web", dijeron los investigadores en un artículo programado [PDF] para ser presentado en agosto en el Usenix Security Symposium en San Diego.
Los administradores de contraseñas son populares porque requieren que el usuario sólo recuerde una contraseña maestra. Los cinco administradores contraseñas estudiados fueron LastPass, RoboForm, My1login, PasswordBox y NeedMyPassword, todos los cuales se ejecutan sobre un navegador web y son utilizados por millones de usuarios.
Mientras que todos tenían diferentes defectos, los investigadores dijeron que cuatro de ellos tenían vulnerabilidades que un atacante podría aprovechar para robar credenciales de los usuarios.
Los investigadores informaron sus conclusiones a los vendedores en agosto de 2013. Cuatro de ellos respondieron en una semana y han corregido todas las vulnerabilidades. El único que no ha respondido es NeedMyPassword.
Los investigadores encontraron que algunos administradores de contraseñas también eran vulnerables a Cross-site Request Forgery (CSRF) y Cross-site Scripting (XSS). En un post, LastPass reconoció los defectosy dijo que personas que utilizaron estas aplicaciones antes de septiembre de 2013, pueden considerar cambiar su contraseña maestra y generar nuevas contraseñas.
"Creemos que en este tipo de aplicaciones se debería adoptar una postura defensiva más y principios de menor privilegios, defensa en profundidad y protocolos abiertos de diseño".
Fuente: CSO Online
Los administradores de contraseñas son populares porque requieren que el usuario sólo recuerde una contraseña maestra. Los cinco administradores contraseñas estudiados fueron LastPass, RoboForm, My1login, PasswordBox y NeedMyPassword, todos los cuales se ejecutan sobre un navegador web y son utilizados por millones de usuarios.
Mientras que todos tenían diferentes defectos, los investigadores dijeron que cuatro de ellos tenían vulnerabilidades que un atacante podría aprovechar para robar credenciales de los usuarios.
Los investigadores informaron sus conclusiones a los vendedores en agosto de 2013. Cuatro de ellos respondieron en una semana y han corregido todas las vulnerabilidades. El único que no ha respondido es NeedMyPassword.
Los investigadores encontraron que algunos administradores de contraseñas también eran vulnerables a Cross-site Request Forgery (CSRF) y Cross-site Scripting (XSS). En un post, LastPass reconoció los defectosy dijo que personas que utilizaron estas aplicaciones antes de septiembre de 2013, pueden considerar cambiar su contraseña maestra y generar nuevas contraseñas.
"Creemos que en este tipo de aplicaciones se debería adoptar una postura defensiva más y principios de menor privilegios, defensa en profundidad y protocolos abiertos de diseño".
Fuente: CSO Online
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!