Vulnerabilidade no KeePass revela password principal

O popular gestor de passwords open-source KeePass tem uma vulnerabilidade que permite ficar a conhecer a sua master password com facilidade.

Apesar do KeePass se certificar que todos os seus dados estão encriptados, sofre de uma falha relativamente básica. Ao utilizar uma caixa de input especial para a introdução da password, o programa não implementa qualquer protecção para a eventualidade de alguém fazer um registo de toda a memória do computador, e permitindo que o atacante tenha acesso à password em plaintext, apenas com o primeiro ou dois primeiros caracteres em falta.

É uma falha que se pode considerar grave tendo em consideração o tipo de programa que é, mas cuja aplicabilidade prática é limitada pelo facto de um atacante necessitar ter acesso directo ao computador da vítima (ou ter controlo remoto sobre a mesma).

Dominik Reichl, o developer do KeePass diz que a versão 2.54 já terá esta falha corrigida, e tendo antecipado o seu lançamento de Julho para o início de Junho. A correcção passa pela mistura de caracteres aleatórios no espaço de memória onde é guardada a password, para que não seja fácil determinar qual é, assim como usar funções especializadas para a inserção e leitura do campo de entrada, de modo a evitar strings guardadas em memória que sejam de acesso directo.