Глава отдела исследований безопасности Ledger Donjon Жан-Батист Бедрун (Jean-Baptiste Bédrune) рассказал, что в течение долгого времени Kaspersky Password Manager для генерации паролей использовал метод привязки к текущему времени и больше никаких других дополнительных источников энтропии. Это сложный метод, и такие пароли трудно подобрать стандартными способами. Однако, если учитывать этот факт, то их надёжность очень сильно снижается при использовании специализированных инструментов взлома.
Если злоумышленник знает, что человек использует Kaspersky Password Manager, он может быстрее подобрать пароль, чем любую другую случайную комбинацию. Большой ошибкой программы было использование текущего системного времени в секундах в качестве начального числа в генераторе псевдослучайных чисел Mersenne Twister. Это означает, что каждый экземпляр программы Kaspersky Password Manager в мире генерировал один и тот же пароль в ту же самую секунду. Благодаря анимации процесса создания пароля, которая занимает больше секунды, эту проблему не могли обнаружить. Например, за последние 11 лет (2010-2021) прошло 315619200 секунд, и Kaspersky Password Manager мог сгенерировать не более 315619200 паролей для данной кодировки. Расшифровка методом полного перебора в данном случае заняла бы несколько минут. Жан-Батист Бедрун отметил, что сайты часто показывают время создания учётной записи, поэтому пользователи становятся уязвимыми для брутфорс-атаки.
Второй недостаток заключался в том, что менеджер паролей Касперского генерировал пароли, в которых использовались группы букв, не встречающиеся в словах. Например, qz или zr. Если злоумышленник знает, что пользователь использует эту программу, он может осуществить брутфорс-атаку с этими комбинациями, и это займёт меньше времени, чем обычно.
По словам исследовательской группы, проблеме подверглись все версии Kaspersky Password Manager до 9.0.2 Patch F для Windows, до 9.2.14.872 для Android и до 9.2.14.31 для iOS. Компания была проинформирована об уязвимости в июне 2019 года, и в октябре того же года она выпустила исправленную версию своей программы. Через год компания уведомила своих клиентов о необходимости обновления некоторых паролей, а в апреле текущего года «Лаборатория Касперского» опубликовала рекомендации по безопасности.
На текущий момент все общедоступные версии Kaspersky Password Manager, у которых наблюдалась эта проблема, теперь имеют новую логику генерации паролей и предупреждают пользователей в случаях, когда сгенерированный пароль недостаточно надёжный.
Если злоумышленник знает, что человек использует Kaspersky Password Manager, он может быстрее подобрать пароль, чем любую другую случайную комбинацию. Большой ошибкой программы было использование текущего системного времени в секундах в качестве начального числа в генераторе псевдослучайных чисел Mersenne Twister. Это означает, что каждый экземпляр программы Kaspersky Password Manager в мире генерировал один и тот же пароль в ту же самую секунду. Благодаря анимации процесса создания пароля, которая занимает больше секунды, эту проблему не могли обнаружить. Например, за последние 11 лет (2010-2021) прошло 315619200 секунд, и Kaspersky Password Manager мог сгенерировать не более 315619200 паролей для данной кодировки. Расшифровка методом полного перебора в данном случае заняла бы несколько минут. Жан-Батист Бедрун отметил, что сайты часто показывают время создания учётной записи, поэтому пользователи становятся уязвимыми для брутфорс-атаки.
Второй недостаток заключался в том, что менеджер паролей Касперского генерировал пароли, в которых использовались группы букв, не встречающиеся в словах. Например, qz или zr. Если злоумышленник знает, что пользователь использует эту программу, он может осуществить брутфорс-атаку с этими комбинациями, и это займёт меньше времени, чем обычно.
По словам исследовательской группы, проблеме подверглись все версии Kaspersky Password Manager до 9.0.2 Patch F для Windows, до 9.2.14.872 для Android и до 9.2.14.31 для iOS. Компания была проинформирована об уязвимости в июне 2019 года, и в октябре того же года она выпустила исправленную версию своей программы. Через год компания уведомила своих клиентов о необходимости обновления некоторых паролей, а в апреле текущего года «Лаборатория Касперского» опубликовала рекомендации по безопасности.
На текущий момент все общедоступные версии Kaspersky Password Manager, у которых наблюдалась эта проблема, теперь имеют новую логику генерации паролей и предупреждают пользователей в случаях, когда сгенерированный пароль недостаточно надёжный.
