Questo enorme exploit del gestore di password potrebbe non essere mai risolto

Sono stati mesi brutti per i gestori di password, anche se principalmente solo per LastPass. Ma dopo le rivelazioni secondo cui LastPass aveva subito una grave violazione , l’attenzione si sta ora spostando sul gestore open source KeePass.

Sono circolate accuse secondo cui una nuova vulnerabilità consente agli hacker di rubare surrettiziamente l’intero database delle password di un utente in testo in chiaro non crittografato. Questa è un’affermazione incredibilmente seria, ma gli sviluppatori di KeePass la stanno contestando.

Un grande monitor che mostra un avviso di violazione della sicurezza.

KeePass è un gestore di password open source che memorizza i suoi contenuti sul dispositivo di un utente, piuttosto che nel cloud come le offerte concorrenti. Come molte altre app, tuttavia, il suo deposito password può essere protetto con una password principale.

La vulnerabilità, registrata come CVE-2023-24055 , è disponibile a chiunque abbia accesso in scrittura al sistema di un utente. Una volta ottenuto, un attore delle minacce può aggiungere comandi al file di configurazione XML di KeePass che esporta automaticamente il database dell’app, inclusi tutti i nomi utente e le password, in un file di testo in chiaro non crittografato.

Grazie alle modifiche apportate al file XML, il processo viene eseguito tutto automaticamente in background, quindi gli utenti non vengono avvisati che il loro database è stato esportato. L’autore della minaccia può quindi estrarre il database esportato su un computer o server che controlla.

Non sarà riparato

Una rappresentazione di un hacker che irrompe in un sistema tramite l'uso del codice.

Tuttavia, gli sviluppatori di KeePass hanno contestato la classificazione del processo come vulnerabilità, poiché chiunque abbia accesso in scrittura a un dispositivo può mettere le mani sul database delle password utilizzando metodi diversi (a volte più semplici).

In altre parole, una volta che qualcuno ha accesso al tuo dispositivo, questo tipo di exploit XML non è più necessario. Gli aggressori potrebbero installare un keylogger per ottenere la password principale, ad esempio. La linea di ragionamento è che preoccuparsi di questo tipo di attacco è come chiudere la porta dopo che il cavallo è scappato. Se un utente malintenzionato ha accesso al tuo computer, correggere l’exploit XML non sarà d’aiuto.

La soluzione, sostengono gli sviluppatori, è “mantenere l’ambiente sicuro (utilizzando un software antivirus, un firewall, non aprendo allegati e-mail sconosciuti, ecc.). KeePass non può funzionare magicamente in modo sicuro in un ambiente insicuro.

Cosa sai fare?

immagine dello stile di vita del gestore delle password

Sebbene gli sviluppatori di KeePass non sembrino disposti a risolvere il problema, ci sono passaggi che puoi intraprendere da solo. La cosa migliore da fare è creare un file di configurazione forzata . Questo avrà la precedenza su altri file di configurazione, mitigando eventuali modifiche dannose apportate da forze esterne (come quella utilizzata nella vulnerabilità dell’esportazione del database).

Dovrai inoltre assicurarti che gli utenti regolari non dispongano dell’accesso in scrittura a file o cartelle importanti contenuti nella directory KeePass e che sia il file KeePass .exe che il file di configurazione applicato si trovino nella stessa cartella.

E se non ti senti a tuo agio nel continuare a utilizzare KeePass, ci sono molte altre opzioni. Prova a passare a uno dei migliori gestori di password per mantenere i tuoi accessi e i dettagli della carta di credito più sicuri che mai.

Sebbene questa sia senza dubbio una cattiva notizia per il mondo dei gestori di password, vale comunque la pena utilizzare queste app. Possono aiutarti a creare password complesse e univoche crittografate su tutti i tuoi dispositivi. È molto più sicuro che utilizzare “123456” per ogni account .