Skip to main content

Если вы какое-то время использовали Kaspersky Password Manager (KPM) на своем iPhone, возможно, вам потребуется сгенерировать несколько новых паролей. Исследователь безопасности обнаружил два недостатка, которые могут привести к тому, что злоумышленнику придется попробовать всего 100 паролей, чтобы найти ваш…

Недостатки присутствовали в паролях, сгенерированных до октября 2019 года.

ZDNet сообщает, что возникли две проблемы. Главный из них заключался в том, что приложение использовало время как семя.

Однако большой ошибкой KPM было использование текущего системного времени в секундах в качестве начального числа в генераторе псевдослучайных чисел Mersenne Twister.

«Это означает, что каждый экземпляр Kaspersky Password Manager в мире будет генерировать один и тот же пароль в заданную секунду», — сказал Жан-Батист Бедрун.

Поскольку программа имеет анимацию, которая занимает больше секунды при создании пароля, Бедрун сказал, что, возможно, именно поэтому эта проблема не была обнаружена.

«Последствия явно плохие: любой пароль может быть взломан», — сказал он.

«Например, между 2010 и 2021 годом 315619200 секунд, поэтому KPM может сгенерировать не более 315619200 паролей для данной кодировки. Брутфорс займет несколько минут ».

Bédrune добавлен из-за того, что сайты часто показывают время создания учетной записи, что сделало бы пользователей KPM уязвимыми для атаки грубой силой около 100 возможных паролей.

(По иронии судьбы, ошибка в коде привела к появлению дополнительной переменной, которая в некоторых случаях смягчала проблему.)

Второй недостаток был менее вероятным на практике, так как он помог только злоумышленнику, который знал, что вы используете KPM. Чтобы противостоять атакам по словарю, KPM генерирует пароли, в которых используются группы букв, не встречающиеся в словах, например qz или zr. Проблема в том, что если злоумышленник знает, что вы используете KPM, он может вместо этого организовать атаку методом перебора с помощью этих комбинаций, что на самом деле может занять меньше времени, чем стандартная атака по словарю.

Касперский признал наличие проблем и сказал, что теперь применяется новая логика. Но если вы использовали KPM до октября 2019 года, вы захотите изменить свои пароли.