Старый баг Firefox, обнаруженный ещё 9 лет назад, позволяет воровать пароли

Популярный браузер Firefox на протяжении 9 лет использовал устаревшую схему сохранения паролей, которая может быть взломана с помощью современных графических адаптеров менее, чем за минуту. 

Firefox и Thunderbird позволяют пользователям устанавливать мастер-пароль для дополнительной безопасности. Как оказалось, в данной функции в течение длительного периода времени применялся алгоритм криптографического хеширования SHA1, механизм шифрования которого легко поддаётся взлому. 


Уязвимость обнаружил Владимир Палант (Wladimir Palant), автор расширения AdBlock Plus для блокировки рекламы в браузерах. Самое интересное, что недостаток уже давнишний, впервые о нём заявили 9 лет (!) назад. Однако за это время разработчики Firefox так и не исправили ошибку. 

«Я заглянул в исходный код и нашёл функцию sftkdb_passwordToKey (), которая преобразует пароль [веб-сайта] в ключ шифрования, применяя хеширование SHA-1 к строке, состоящей из фактического мастер-пароля и случайных символов», — написал в своём блоге Владимир Палант.

Проблема заключается в том, что счётчик цикла SHA-1 равен единице, то есть функция применяется один раз. Обычно счётчик цикла составляет 10 тыс. или больше, например, в LastPass он равен 100 тыс. Это позволяет хакерам и злоумышленникам легко расшифровать мастер-пароль и получить доступ ко всем сохранённым пользовательским паролям. По словам Паланта, видеокарта GTX 1080 способна посчитать 8,5 млн хешей SHA1 за одну секунду. 

В данный момент проблема остаётся актуальной, как и тема, которую вновь поднял разработчик на официальном форуме Mozilla по обнаруженным багам. Представители компании заверили, что в скором времени выпустят новый инструмент для мастер-пароля в браузере под названием Lockbox. А пока пользователям стоит придумать более длинный пароль. Так, на всякий случай.

Нравится4
Комментарии (1)
B
i
u
Спойлер