O KeePass é uma aplicação gratuita open-source que permite gerir as suas passwords de forma segura, longe de olhares alheios. Hoje em dia tantos são os cartões, logins, palavras-chave e códigos de acesso que fica complicado gerir com lucidez todos estes aglomerados de letras, números e símbolos.
Mas, de acordo com uma informação recente, o KeePass 2 está vulnerável a ataques man-in-the-middle. Veja um desses ataques em acção!
O KeePass 2 é provavelmente um dos serviços para guardar passwords mais usado do mundo. Muitos utilizadores confiam a esta aplicação muitas das credenciais que usam nos serviços online e não só. Só que, recentemente, foi descoberta uma falha e ao que parece os responsáveis não a vão corrigir para assim não perder publicidade.
Como funciona o ataque ao KeePass 2?
Tal como acontece com todos os ataques man-in-the-middle, a comunicação é interceptada e até pode ser redireccionada. Neste caso, quando o utilizador que tem o KeePass 2 carrega na funcionalidade para verificar se existem actualizações, como esse pedido é feito via HTTP, facilmente o atacante consegue interceptar essa comunicação e até enviar-lhe uma “actualização maliciosa”.
Para perceber como tudo funciona, vejam o vídeo seguinte:
Estranhamento o responsável pelo KeePass 2 conhece a vulnerabilidade, mas diz que não vai resolver por existirem custos associados. Mais estranho ainda é o facto de referir que se implementasse uma comunicação com base no protocolo HTTPS, iria perder apoios de publicidade.