I password manager sono strumenti che permettono di gestire facilmente decine di credenziali e password molto robuste e, in alcuni casi, possono anche occuparsi anche della verifica a due fattori. Il loro utilizzo permette quindi di incrementare sensibilmente il livello di sicurezza e privacy. Tuttavia è possibile individuare in essi delle vulnerabilità.
A tal proposito è stato recentemente diffuso un report, pubblicato dall'independent security consulting agency ISE, che evidenzierebbe alcune criticità presenti in diversi password manager.
I ricercatori avrebbero infatti rilevato che in 1Password, KeePass, LastPass e Dashline sarebbe presente un bug di sicurezza capace di esporre gli utenti Windows ad un possibile attacco malware in grado di carpire la master password.
Nel dettaglio il problema riguarderebbe il secure memory management. Sembrerebbe infatti che questi tool lasciano caricate le password per un certo periodo di tempo all'interno della RAM, tale comportamento permetterebbe a malware appositamente progettati di accedere alle password presenti in memoria.
Si tratterebbe di una vulnerabilità sfruttabile soltanto quando i password manager sono avviati. Le password salvate sul disco fisso rimarrebbero dunque al sicuro, l'utente sarebbe invece esposto ad un rischio concreto nel momento in cui visualizza una credenziale.
Solitamente i password manager cercano sempre di rimuovere i dati salvati nella RAM quando non sono più necessari. Rimarrebbero tuttavia dei residui nei buffer.
Dalla ricerca sarebbe anche emerso che le versioni più recenti di alcuni password manager sono meno sicure rispetto a quelle più datate. Le release aggiornate sarebbero infatti progettate per caricare tutte le credenziali nella RAM come testo in chiaro appena viene inserita la master password.
Dopo la pubblicazione del report un portavoce di Lastpass ha dichiarato che le vulnerabilità rilevate sono già state risolte. Inoltre secondo il team dell'applicazione tale bug poteva essere sfruttato solo in locale da un malware con privilegi di amministrazione.
I ricercatori di ISE sottolineano che il loro report non vuole assolutamente scoraggiare l'uso dei password manager, questo genere di tool rimarrebbe comunque la soluzione migliore per tenere al sicuro le proprie credenziali.
Via ISE