Un bug en Keybase habría hecho respaldo de la clave privada en servidores de Google

Share this…

Keybase notifica a los usuarios de Android sobre un error en su aplicación móvil que podría haber incluido involuntariamente la clave privada de los usuarios (utilizada para cifrar conversaciones y otros datos privados) en las copias de seguridad automáticas creadas por el sistema operativo Android y cargadas en los servidores de Google. Keybase, que es una compañía que ofrece una amplia gama de herramientas de comunicación cifradas y de prueba de identidad, dice que corrigió el error y envió correos electrónicos de notificación a los usuarios que considera afectados por este problema.

Bug en Keybase

Los correos electrónicos contienen instrucciones sobre cómo los usuarios podrían obligar a sus dispositivos a generar una nueva clave de cifrado privada.

Keybase usa esta clave privada como parte de un sistema de pares de claves privadas y públicas para verificar la identidad de un usuario y cifrar las conversaciones enviadas a través del sistema de chat de Keybase desde ese dispositivo.

El problema parece afectar solo a los “primeros usuarios” de la aplicación para Android. La compañía estima que alrededor del 10% de los usuarios de la aplicación Keybase para Android se ven afectados por este error. En su sitio web, la compañía se jacta de dar servicio a más de 205.000 usuarios. Eso sí, no está claro cuántos de ellos también usan su aplicación Android.

Keybase dijo que los usuarios que respaldan su dispositivo Android a través de Google Play y los usuarios que reutilizaron contraseñas de otras cuentas o utilizaron una frase de contraseña débil se ven afectados.

No es un problema grave

Como señalan desde la compañía, este no es un problema grave a menos que los usuarios sean realmente malos al elegir las contraseñas. Un atacante primero tendría que acceder a la cuenta de Google de un usuario (para extraer los archivos de copia de seguridad de Android) y luego a la frase clave de Keybase (para descifrar la clave privada). No obstante, se han visto muchos casos de malas prácticas de contraseñas en el pasado para descartar posibles ataques a estas cuentas.

Funciona permitiendo que los usuarios registren una cuenta y la usen como una central para verificar los perfiles en otros sitios en línea y verificar los dispositivos que posee el usuario.

Un atacante puede obtener la contraseña (frase de contraseña) de la cuenta Keybase de un usuario, pero no podrá suplantar a ese usuario en chats cifrados de Keybase y en mensajes privados protegidos, a menos que envíe esos mensajes desde dispositivos verificados.

El error que la empresa acaba de arreglar le permite a un atacante obtener la clave privada y hacerse pasar por el teléfono inteligente Android del usuario. Es por eso que es importante que los usuarios protejan los dispositivos, incluso si hay una pequeña posibilidad de que se vean afectados.

Keybase ha incluido una serie de instrucciones en el correo electrónico a los usuarios posiblemente afectados. Los usuarios que recibieron el correo electrónico deberían actualizar su aplicación y crear nuevas claves privadas. Las copias de seguridad antiguas se pueden dejar, ya que la clave privada contenida en ella ya no funcionará.

Fuente:https://www.redeszone.net/2017/11/28/bug-keybase-habria-hecho-respaldo-la-clave-privada-servidores-google/