2021年7月9日 06:00
カスペルスキー社のパスワードマネージャーが搭載しているパスワード発行機能に偏りがあり、一般的なパスワードに比べて総当たりで解析されやすい状態だったことが明らかになった。
パスワードマネージャーツールの多くは新しく登録するサービス向けにランダムなパスワードを自動生成する機能を備えているが、今回同社のパスワードマネージャー「Kaspersky Password Manager」(KSP)で発覚したのが、時刻をキーに用いるロジックに欠陥があり、生成されるパスワードの組み合わせパターンに偏りがあったというもの。脆弱性の対象となるのは、Windows版はバージョン9.0.2 Patch Fより前、 Android版はバージョン9.2.14.872より前、iOS版はバージョン9.2.14.31より前となる。攻撃者がパスワードの発行時刻を知っているのが前提だったりと条件は限られるものの、同社は2020年アップデートのインストールを促すとともに、ランダムパスワードの再生成を呼び掛けている。これらを発見したセキュリティベンダーのDonjonは、同社のパスワード生成ロジックをフリーのパスワードマネージャー「KeePass」と比較しつつ、なぜ偏りのあるパスワードが発行されるに至ったのか、どのような条件下では解読されやすくなるのかを、ブログで詳しく説明している。
- List of Advisories(Kaspersky)
https://support.kaspersky.com/general/vulnerability.aspx?el=12430#270421 - Kaspersky Password Manager: All your passwords are belong to us(Donjon)
https://donjon.ledger.com/kaspersky-password-manager/ - Kaspersky Password Manager's random password generator was about as random as your wall clock(The Register)
https://www.theregister.com/2021/07/06/kaspersky_password_manager/