Een van de adviezen die vaak gegeven wordt als het gaat om veiligheid op het web is om een wachtwoord-beheerprog te gebruiken, maar nu blijken die zelf ook vatbaar voor elektronische inbraak, zo ontdekten onderzoekers in Finland. Iedereen met toegang tot een gedeelde computer zou kunnen inbreken of, zonder het te weten, een ‘handlanger’ kunnen zijn van een e-kraker die het op zo’n progje voorzien heeft, aldus de onderzoekers.
Onderzoekers van de Aalto-universiteit en van de universiteit van Helsinki ontdekten dat toepassingen die bedoeld zijn de digitale veiligheid te vergroten gevoelig zijn voor aanvallen van ‘binnenuit’. De meeste zwakke plekken werden gevonden in wachtwoordbeheerprogs die door miljoenen mensen worden gebruikt om hun toegangscodes te bewaren. Die kwetsbare programma’s worden zowel in Windows, in MacOS als in Linux gebruikt.
Computerprogramma’s werken bij de opstart verschillende routines af. Zo’n beheerprog bestaat veelal uit twee delen: een ‘kluis’ om de wachtwoorden in op te slaan en een extensie voor het webprogramma. Beide werken onafhankelijk van elkaar op hetzelfde rekentuig.
Om gegevens uit te wisselen wordt een zogeheten interprocescommunicatie gebruikt, die zorgt dat er geen informatie de computer verlaat. Dat IPC-procédé wordt als veilig beschouwd, maar de gegevens moeten ook niet kunnen worden opgepikt door andere processen die er op de computer draaien, uiteraard.
“Veel veiligheidstoepassingen, zoals die wachtwoordbeheerders, beschermen dat IPC-kanaal niet goed”, zegt onderzoeker Thanh Bui van de Aalto-universiteit. “Dat betekent dat processen van anderen die op een gedeelde computer draaien toegang tot dat kanaal kunnen hebben en informatie zouden kunnen stelen.”
Hoewel rekentuigen in het algemeen persoonlijk zijn is het niet ongewoon dat verschillende mensen toegang hebben tot eenzelfde apparaat. In grote bedrijven, bijvoorbeeld, is er een centraal verificatiesysteem, waardoor werknemers op alle computers kunnen inloggen. In zo’n scenario schuilt het gevaar voor een aanval van ‘binnenuit’. Een aanvaller/inbreker zou zich ook kunnen aanmelden als gast of ‘op afstand’.
Verontrustend
“Het aantal lekke applicaties geeft aan dat ontwikkelaars vaak niet denken aan de veiligheidsaspecten van interprocescommunicatie”, zegt medeonderzoeker Markku Antikainen van de universiteit van Helsinki. Misschien begrijpen ze die veiligheidsaspecten niet van de verschillende IPC-methodes of hebben ze te veel vertrouwen in ‘lokaal’ draaiende programmatuur. Beide verklaringen zijn verontrustend.”
De onderzoekers hebben, zoals een goede gewoonte is, de ontdekte kwetsbaarheden aan de verschillende softwarebedrijven gemeld.
Bron: Alpha Galileo