De wachtwoordmanager van securityleverancier Kaspersky blijkt een kritieke fout te hebben bevat, de afgelopen twee jaar. 

De ergste van de gevonden problemen was gebruik van een pseudotoevalsgenerator (PRNG) die niet geschikt is voor cryptografisch gebruik. Daardoor gebruikte de wachtwoordtool de huidige tijd als input voor het aanmaken van nieuwe wachtwoorden. Die factor valt te herleiden en bovendien was die gelijk voor elke installatie van KPM bij elke gebruiker.

Alle wachtwoorden die KPM heeft aangemaakt, zijn met een bruteforce-aanvallen in een paar seconden te kraken, meldt onderzoeksteam Donjon van het Franse blockchain- en beveiligingsbedrijf Ledger. 

De oorspronkelijke melding van de gevonden gaten was op 15 juni 2019, via kwetsbaarhedenmelder HackerOne. Eind vorig jaar is de maker van de kwetsbare beveiligingstool akkoord gegaan met onthulling van de bevindingen, zodra het CVE-informatiebulletin (Common Vulnerabilities and Exposures) is gepubliceerd. Dat is in mei dit jaar gebeurd, waarna Ledger nu zijn bevindingen en PoC-code openbaart. 

Analyse van de KPM-code levert nu flinke kritiek van cryptografie-expert Matthew Green. 

Alles bij de bron; AGConnect


 


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha