卡巴斯基密码管理器中的一个漏洞使其创建的密码安全性降低,允许攻击者在几秒钟内暴力破解,一名安全研究人员声称。卡巴斯基密码管理器(KPM)由俄罗斯安全公司卡巴斯基开发,不仅可以让用户安全地存储密码和文档,还可以在需要时生成密码。KPM保管库中存储的所有敏感数据均受主密码保护。该应用适用于Windows、macOS、Android和iOS,甚至可以通过网络访问敏感数据。大约两年前,Ledger安全研究员Jean-BaptisteBédrune发现该应用程序的问题在于其安全密码生成机制薄弱,攻击者可以在几秒钟内暴力破解KPM创建的密码。KPM默认可以生成12个字符的密码,但允许用户通过修改KPM界面中的设置来个性化密码(如密码长度、大小写字母、数字和特殊字符的使用)。Ledger研究人员解释说,KPM的问题也是它与其他密码管理器的不同之处:为了创建与已生成密码尽可能不同的新密码,该应用程序变得可预测。“创建密码是为了防止常见的密码破解程序被破解。然而,攻击者掌握了KPM用来生成密码的算法,”Bédrune说。“我们可以得出结论,密码生成算法本身并没有糟糕到可以抵抗破解工具。但如果攻击者知道目标人正在使用KPM生成的密码,他们将能够更轻松地破解它,”研究人员说。该漏洞被追踪为CVE-2020-27020,与使用非加密安全伪随机数生成器(PRNG)有关。桌面应用程序使用MersenneTwisterPRNG,而Web版本使用Math.random()函数,两者都不适合生成加密安全信息。研究人员发现,KPM使用系统时间作为生成每个密码的种子,这意味着世界上每个KPM实例都会在给定的特定时刻生成完全相同的密码。“这个漏洞的后果显然很糟糕,每个密码都可以被暴力破解。比如2010年到2021年之间有315619200秒,所以KPM对于给定的字符集最多可以生成315619200个密码,暴力破解他们只需要几分钟,”Bédrune说。卡巴斯基于2019年开始发布补丁,但直到2021年4月才发布公告。已生成)。所有可能出现此问题的KPM公共版本现在都更新了新的密码生成逻辑和密码更新警报,”卡巴斯基在其公告中指出。同时,公告还建议用户更新至卡巴斯基密码ManagerforWindows9.0.2PatchF、KasperskyPasswordManagerforAndroid9.2.14.872、KasperskyPasswordManagerforiOS9.2.14.31尽快更新【本文为专栏作者“安牛”原创文章,转载请通过安牛(微信公众号id:gooann-sectv)转载】点此查看该作者更多好文
