Уразливість у менеджерах паролів для Windows 10 дозволяє хакерам викрадати дані

У п’яти найпопулярніших менеджерах паролів для Windows 10 – 1Password 7, 1Password 4, Dashlane, KeePass і LastPass – виявили вразливості. Про це повідомляє SecurityLab.

Дослідники з кібербезпеки компанії Independent Security Evaluators стверджують, що перебуваючи в “закритому” режимі, вищезгадані додатки зберігають паролі в текстовому файлі в пам’яті комп’ютера, тому зловмисникові з доступом до пристрою не важко їх викрасти.

Фахівці протестували тільки версії додатків для Windows, проте проблема, швидше за все, зачіпає також версії для Mac і мобільних пристроїв.

За словами дослідників, зловмисник може відновити майстер-пароль для 1Password 4, оскільки пароль не видаляється з пам’яті після того, як додаток було запущено, коли користувач ввів пароль, а потім вийшов з програми.

Ступінь захищеності менеджерів паролів грає надзвичайну роль в забезпеченні кібербезпеки.

Так, у травні минулого року зловмисникам вдалося викрасти 1,5 мільйона доларів у криптовалюті Ethereum у стартапа Taylor. Згідно з повідомленням Taylor, кіберзлочинці зламали пристрій з додатком 1Password, що використовувалися для зберігання закритих ключів. Щоправда, чи була атака здійснена шляхом злому менеджера паролів, невідомо.

Незважаючи на виявлену вразливість, фахівці однак не радять користувачам відмовлятися від менеджерів паролів. Адже як зазанчив експерт Трой Хант (Troy Hunt), менеджери паролів не повинні бути ідеальними, просто з ними паролі повинні бути захищені краще, ніж взагалі без них.

До речі, поточні тести зі зламу паролів показують, що мінімальний восьмизначний пароль, незалежно від складності, може бути зламаний менш ніж за 2,5 години з використанням відповідного апаратного оснащення.

Також спеціаліст з безпеки Лінус Хенце (Linus Henze) виявив уразливість в операційній системі Apple macOS, яка надає можливість отримати облікові дані з зв’язки ключів (KeyChain) на комп’ютерах Мас без прав адміністратора або суперкористувача.

Також дослідники з компанії Kryptowire провели діагностику популярних смартфонів на Android та виявили близько 38 уразливостей у програмах, інформація про які міститься у вихідних кодах прошивки виробників.