Recordar todas las contraseñas que se utilizan en los servicios de Internet puede llegar a ser una tarea complicada. Por este motivo se utilizan gestores de contraseñas permitiendo almacenar estas de forma segura como por ejemplo RoboForm. Sin embargo, se ha detectado que esta aplicación posee varios fallos de seguridad que permiten acceder a las contraseñas almacenadas saltándose la protección que esté configurada.
De momento se ha confirmado que todos los usuarios que utilicen la versión para dispositivos móviles (Android e iOS) están afectados por el problema de seguridad. Sin embargo, expertos en seguridad creen que las aplicaciones para sistemas operativos Windows también están afectadas por otro problema de seguridad relacionado con la clave de cifrado.
RoboForm es una aplicación que es utilizada por una gran cantidad de usuarios ya que no solo permite el almacenamiento y sincronización de contraseñas entre diferentes dispositivos, el software también permite al usuario sincronizar notas entre todos los dispositivos en los que se encuentre instalada la aplicación. Sin lugar a dudas una aplicación que posee una gran utilidad.
En las aplicaciones de iOS y Android se puede evitar el PIN de acceso
Una de las características de la aplicación es que permite la protección de su interfaz gracias a un código PIN, evitando que un usuario no autorizado pueda acceder a esta y realizar cambios. Pero la edición de un archivo permite que este PIN no sirva para nada y que se pueda acceder a las contraseñas y a las notas privadas que deberían estar protegidas. La línea o parámetro en cuestión es «pref_pincode«, si esta es eliminada del archivo de preferencias de la aplicación el PIN queda desactivado y los archivos expuestos.
El mayor problema es que el fallo fue notificado a los responsables de la aplicación y al no ser capaces de reproducir el error este ha quedado en el olvido o por lo menos hasta que se vuelva a reportar de nuevo. En el vídeo que os hemos mostrado con anterioridad se puede ver como en un terminal Android se reproduce el error.
Sobre este fallo hay que añadir que la vulnerabilidad únicamente afecta a los dispositivos rooteados o con Jailbreak, de ahí que se pueda justificar que el equipo de desarrollo de la aplicación haya fallado al reproducir el problema de seguridad. Puedes poner a prueba tus claves con Hydra.
La clave de cifrado se guarda en los dispositivos sin ningún tipo de protección
Otro de los fallos de seguridad detectados es que la clave de cifrado de archivos se guarda de forma local para acelerar el cifrado y el descifrado de estos. Esto puede llegar a ser un problema, sobre todo porque la clave no posee ningún tipo de protección y en el caso de un acceso no autorizado al dispositivo podría ser accesible por cualquiera. Este problema afecta a los dispositivos Android y equipos con sistema operativo Windows.
Os recomendamos leer nuestro artículo sobre el gestor de contraseñas AuthPass.