| 7 июля 2021 г. – 4:00 PT
Если вы какое-то время использовали Kaspersky Password Manager (KPM) на своем iPhone, вам может понадобиться сгенерировать новые пароли. Исследователь безопасности обнаружил два недостатка, которые могут позволить злоумышленнику, имея лишь около 100 паролей, узнать ваш…
Обновление: Kaspersky предоставил официальное заявление по поводу недостатков:
«Kaspersky устранил проблему безопасности в Kaspersky Password Manager, которая потенциально позволяла злоумышленнику узнавать пароли, сгенерированные инструментом. Эта проблема могла возникнуть только в маловероятном случае, если злоумышленник знал учетные данные пользователя и точное время генерации пароля. Также требовалось, чтобы пользователь снизил настройки сложности пароля.
Компания выпустила исправление для продукта и внедрила механизм, который уведомляет пользователей, если конкретный пароль, сгенерированный инструментом, может быть уязвимым и нуждается в изменении.
Мы рекомендуем нашим пользователям устанавливать последние обновления. Чтобы упростить процесс получения обновлений, наши домашние продукты поддерживают автоматическое обновление.»
Недостатки присутствовали в паролях, сгенерированных до октября 2019 года.
ZDNet сообщает, что было две проблемы. Основная заключалась в том, что приложение использовало время в качестве начального значения.
Большой ошибкой KPM было использование текущего системного времени в секундах в качестве начального значения для псевдослучайного генератора чисел Мерсенна.
«Это означает, что каждый экземпляр Kaspersky Password Manager в мире будет генерировать один и тот же пароль в заданную секунду», — сказал Жан-Батист Бедрен.
Поскольку программа имеет анимацию, которая длится дольше секунды при создании пароля, Бедрен отметил, что это могло быть причиной того, что эта проблема не была обнаружена.
«Последствия, очевидно, плохие: любой пароль может быть подобран методом перебора», — сказал он.
«Например, между 2010 и 2021 годами 315619200 секунд, поэтому KPM мог генерировать не более 315619200 паролей для данного набора символов. Подбор этих паролей занимает несколько минут.»
Бедрен добавил, что поскольку сайты часто показывают время создания учетной записи, это делало пользователей KPM уязвимыми для атаки методом перебора примерно из 100 возможных паролей.
(По иронии судьбы, ошибка в коде в конечном итоге внесла дополнительную переменную, которая в некоторых случаях смягчила проблему.)
Вторая проблема была менее вероятной на практике, поскольку она помогала только злоумышленнику, который знал, что вы используете KPM. Чтобы противостоять словарным атакам, KPM генерировал пароли, использующие буквенные сочетания, которые не встречаются в словах – например, qz или zr. Проблема в том, что если злоумышленник знает, что вы используете KPM, он может вместо этого осуществить атаку методом перебора с этими комбинациями, что может занять меньше времени, чем стандартная словарная атака.
Kaspersky признал проблемы и заявил, что теперь применяется новая логика. Но если вы использовали KPM до октября 2019 года, вам следует сменить пароли.