Programadores do KeePass disputam recente vulnerabilidade na aplicação
A equipa de desenvolvimento do Gestor de senhas KeePass encontra-se a disputar o que tinha sido considerado uma vulnerabilidade no software. Esta falha permitia, entre outras ações, aos atacantes obterem acesso às senhas guardadas dentro da aplicação, de forma totalmente invisível para os utilizadores.
O KeePass é uma aplicação bastante popular e open-source para gerir senhas de forma local, mantendo todos os dados salvaguardados de forma local – invés de usar plataformas cloud como o LastPass ou Bitwarden. As bases de dados criadas pela aplicação podem ser encriptadas com uma senha principal, que é usada para salvaguardar os dados no caso de o banco de dados ser roubado.
No entanto, recentemente foi identificada uma falha que, caso seja explorada, poderia permitir aos atacantes obterem acesso a todas as senhas e nomes de utilizador guardados sobre a base de dados – sem terem de obter a chave de desbloqueio da mesma.
Esta falha consiste em alterar a base de dados, de forma a que, quando o utilizador voltar a aceder à mesma, o atacante obtenha diretamente os dados existentes nesta, onde os conteúdos são exportados para um ficheiro que fica armazenado no sistema e pode ser posteriormente recolhido.
Este processo de exportação de dados ocorre de forma totalmente invisível para o utilizador, sem que o mesmo receba qualquer notificação do processo. Como tal, este não teria conhecimento que as suas senhas teriam sido exportadas da aplicação.
Desde que a falha foi descoberta, os utilizadores da aplicação começaram a requerer à equipa de desenvolvimento do KeePass que coloca-se uma nova notificação sempre que a base de dados fosse exportada, mesmo que de forma silenciosa. Ao mesmo tempo, a falha também recebeu uma prova de conceito, demonstrando o funcionamento – e que abre portas para que possa ser usada também para atividades maliciosas.
No entanto, a equipa de desenvolvimento do KeePass afirma que esta falha não deveria ser considerada uma vulnerabilidade. A mesma alega que, para executar a mesma, os atacantes necessitam de ter acesso ao sistema da vítima, e como tal, existem outros meios sobre como as senhas podem ser roubadas.
Segundo os programadores, existem formas consideravelmente mais simples e eficazes de obter os dados de uma das bases de dados do KeePass caso o sistema onde a mesma se encontre tenha sido comprometido.
A falha, tendo em conta a explicação da equipa de desenvolvimento, deve manter-se por corrigir, uma vez que esta não é considerada pela mesma como uma vulnerabilidade. Como sempre, os utilizadores são aconselhados a manterem sempre os seus sistemas seguros na base dos mesmos, o que inclui usar um antivírus atualizado e manter o sistema e aplicações do mesmo atualizadas.