Investigadores alertaram que os gestores de palavras-passe populares estão vulneráveis a ataques internos devido a fraquezas na comunicação entre processos (IPC).
Investigadores da Universidade Aalto e da Universidade de Helsinque acrescentaram que vários gestores de passwords estão vulneráveis à mesma falha e que as versões Windows, MacOS e Linux são afetadas.
Um gestor de passwords inicia vários processos durante a sua execução. Por exemplo, eles usam geralmente duas partes: um cofre de passwords (um ficheiro ou BD) e uma extensão para um navegador web, e que são executados isoladamente em diferentes processos no mesmo computador.
Many security-critical applications, including several password managers, do not properly protect the IPC channel.
Para trocar dados, esses processos usam o mecanismo IPC, que permanece dentro dos limites do computador e não envia informações para uma rede externa.
“Many security-critical applications, including several password managers, do not properly protect the IPC channel. This means that other users’ processes running on a shared computer may access the communication channel and potentially steal users’ credentials,” warned Thanh Bui, a doctoral candidate at Aalto University involved in the research.
Biu disse que isso está a acontecer porque não é incomum que várias pessoas numa organização tenham acesso à mesma máquina. Por exemplo, grandes organizações geralmente têm um sistema centralizado de gestão de identidade e acesso que permite que os funcionários façam login em qualquer computador da empresa.
The number of vulnerable applications shows that software developers often overlook the security problems related to inter-process communication.
Para estes cenários, ele disse que é possível que qualquer um na empresa lance ataques, e até um invasor pode também fazer login no computador como convidado ou ligar-se remotamente, se esses recursos estiverem disponíveis.
“The number of vulnerable applications shows that software developers often overlook the security problems related to inter-process communication,” added Markku Antikainen, post-doctoral researcher at the University of Helsinki.
“Developers may not understand the security properties of different IPC methods, or they place too much trust in software and applications that run locally. Both explanations are worrisome.”
Após a divulgação, os investigadores relataram as vulnerabilidades detectadas para os respectivos fornecedores, que tomaram medidas para evitar os ataques. Não foi divulgado quem são essas empresas.