Notícias

KeePass 2 para guardar passwords? Atenção que está vulnerável

22 Comentários

O KeePass é uma aplicação gratuita open-source que permite gerir as suas passwords de forma segura, longe de olhares alheios. Hoje em dia tantos são os cartões, logins, palavras-chave e códigos de acesso que fica complicado gerir com lucidez todos estes aglomerados de letras, números e símbolos.

Mas, de acordo com uma informação recente, o KeePass 2 está vulnerável a ataques man-in-the-middle. Veja um desses ataques em acção!

safe


O KeePass 2 é provavelmente um dos serviços para guardar passwords mais usado do mundo. Muitos utilizadores confiam a esta aplicação muitas das credenciais que usam nos serviços online e não só. Só que, recentemente, foi descoberta uma falha e ao que parece os responsáveis não a vão corrigir para assim não perder publicidade.

Como funciona o ataque ao KeePass 2?

Tal como acontece com todos os ataques man-in-the-middle, a comunicação é interceptada e até pode ser redireccionada. Neste caso, quando o utilizador que tem o KeePass 2 carrega na funcionalidade para verificar se existem actualizações, como esse pedido é feito via HTTP, facilmente o atacante consegue interceptar essa comunicação e até enviar-lhe uma “actualização maliciosa”.

man-in-the-middle-iphone-680x400

Para perceber como tudo funciona, vejam o vídeo seguinte:

Estranhamento o responsável pelo KeePass 2 conhece a vulnerabilidade, mas diz que não vai resolver por existirem custos associados. Mais estranho ainda é o facto de referir que se implementasse uma comunicação com base no protocolo HTTPS, iria perder apoios de publicidade.

PUB
Autor: Pedro Pinto
Partilhar:
Tags:
KeePass

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Análise Meizu Pro 6, o monstro do Android
Artigo anterior

Análise Meizu Pro 6, o monstro do Android
FoldiMate – Dona de casa, chegou a máquina dos seus sonhos
Próximo artigo

FoldiMate – Dona de casa, chegou a máquina dos seus sonhos
PUB

Comentários

22

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Dass
    Dass

    Mas pelos vistos… deve afetar apenas em windows não? E linux? Alguém sabe?

    Responder
    1. Avatar de daiquiri
      daiquiri

      linux não porque os updates em principio vêm pelo teu package manager (apt, aptitude, yum, dnf, pacman, etc)

      Responder
    2. Avatar de Diogo
      Diogo

      Porque assumes que acontece apenas em Windows?
      Isto tem a ver com comunicação entre dois pontos por não existir ligação segura. É um protocolo de rede e não uma “feature” de sistema.

      Responder
      1. Avatar de Xinuo
        Xinuo

        No GNU/Linux, dependendo da distribuição, as atualizações de programas são realizadas pelos gerenciadores de programas/pacotes, tipo: yum, apt-get, dnf, etc. No Windows, quem não pertence ao sistema, atualiza por si só, como é o caso do keepass. No GNU/Linux, mesmo que a comunicação com o repositório da distro não seja criptografada, os pacotes tẽm assinatura, então mesmo que sejam substituídos por versões com malware, o SO detectará que o app não é original, barrando o ataque.

        Responder
    3. Avatar de merc
      merc

      se instalares via package managers da distro nao tens problemas.

      Responder
  2. Avatar de Thefura
    Thefura

    Penso que está na altura de trocar de software ou então continuar com o que ando a fazer, adiar a actualização…

    Responder
  3. Avatar de Nuno Magalhães
    Nuno Magalhães

    Resposta da Keepass: http://keepass.info/help/kb/sec_issues.html#updsig

    Responder
  4. Avatar de daiquiri
    daiquiri

    Mais uma não notica que vem tarde pela demora?

    Resolution. In order to prevent a man in the middle from making KeePass display incorrect version information (even though this does not imply a successful attack, see above), the version information file is now digitally signed (using RSA-2048 and SHA-512). KeePass 2.34 and higher only accept such a digitally signed version information file. This solution is more secure than just using HTTPS, because it guarantees version information safety even when the webserver is compromised (the private key for signing the version information is not stored on the webserver).

    Responder
  5. Avatar de belinhas
    belinhas

    saquem do site oficial!

    Responder
  6. Avatar de ZarkBit
    ZarkBit

    xiii, jesus, que pandemónio, tenham lá calma com os cavalos, para começar o KeePass não necessita de ter uma ligação à internet para funcionar, portanto sempre podem bloquear a sua ligação, deste modo acabam por bloquear também o aviso de update (atenção que o Keepass 2 não faz actualizações automáticas), caso queiram continuar com uma ligação e caso recebam uma notificação de update, é simples, vaiam ao site official e saquem de lá, não utilizem o link disponibilizado na janela de notificação.

    Responder
  7. Avatar de Paulo Oliveira
    Paulo Oliveira

    O keepass 2 é para windows, o keepass X é para linux.

    Responder
  8. Avatar de alopes
    alopes

    Simples de resolver:
    -desligar o computador da internet.
    – guardar as pass num ficheiro exel (protegido por pass)
    – gravar numa pen
    – imprimir em papel
    – retirar a pen e guardar até nova utilização/atualização

    Responder
  9. Avatar de Hugo
    Hugo

    Há alguma alternativa viável na qual se consiga manter o tipo de ficheiro da base de dados?

    Responder
  10. Avatar de Jão Machado
    Jão Machado

    Usar HTTPS não ia resolver nada, se um servidor intermédio interceptar o pedido HTTPS pode fazer-se passar pelo destinatário e passar a usar o seu próprio certificado como se fosse um destinatário legítimo. É assim que funciona a Great Firewall of China. 1º – Cliente chinês envia pedido a site cifrado com protocolo HTTPS. 2º – GFWoC intercepta o pedido e envia um criado por si ao servidor externo à China. 3º – Servidor externo troca chaves usadas para cifrar o tráfego com GFWoC. 4º – GFWoC troca chaves com o cliente chinês que fez o pedido inicial, fazendo-se passar pelo site externo. A partir daqui todos os pedidos que o cliente chinês fizer são todos feitos atravez da GFWoC. Desta forma esta consegue ver toda a informação que é trocada entre utilizadores chineses e servidores estrangeiros.

    Responder
    1. Avatar de José P.
      José P.

      Como é que o servidor intermédio se faz passar pelo destinatário se o programa tem o certificado embutido que foi assinado com a private key do autor do KeePass? acho que tens de ir investigar isso melhor…

      Responder
  11. Avatar de Az8teiro
    Az8teiro

    Old, já tem mais de um ano, e o estudo apresentado pelo orador afirmava que mais de 90% dos programas com actualizações automáticas em windows têm este problema. Https ajuda em certos casos, mas não tem todos. Na altura lembro-me que a adobe tinha um sistema de actualizações seguro. Quase tudo o resto era possível fazer ataques man-in-the-middle ás actualizações de qualquer programa…

    Anyway guardar passwords em programas… Lol.

    Responder
    1. Avatar de Telmo M.
      Telmo M.

      “Anyway guardar passwords em programas… Lol.”
      O que é que sugeres então? Há muita gente inocente/involuntariamente naive que não sabe melhor, como eu.
      Isto para não andar com um papel atrás.

      Responder
  12. Avatar de censo
    censo

    Mas quem é que confia em aplicações de terceiros para guardar passwords ??? Depois ainda falam de invasões de privacidade.

    Responder
  13. Avatar de Manuel
    Manuel

    Descarrego sempre a versão portable. Nunca utilizo a funcionalidade de update da aplicação. Não instalo no sistema, a aplicação e o ficheiro estão numa pasta cifrada:-) o importante aqui é que não é a segurança da encriptação que está em causa. Era importante explicarem isso aos leitores

    Responder
  14. Avatar de tugatech
    tugatech

    O autor já corrigiu este problema e a partir da versão Keepass 2.34 a informação sobe a nova versão disponível passou a ser assinada digitalmente com chave RSA-2048 and SHA-512 e a ser transmitida via https:
    http://keepass.info/help/kb/sec_issues.html#updsig

    Responder
  15. Avatar de Zé

    Mas no site para download ainda está a 2.33!!!

    Responder
    1. Avatar de tugatech
      tugatech

      A versão 2.34 ainda está em Beta. Pode ser obtida aqui:
      http://keepass.info/filepool/KeePass_160605.zip

      Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.