Популярный браузер Firefox на протяжении 9 лет использовал устаревшую схему сохранения паролей, которая может быть взломана с помощью современных графических адаптеров менее, чем за минуту.
Firefox и Thunderbird позволяют пользователям устанавливать мастер-пароль для дополнительной безопасности. Как оказалось, в данной функции в течение длительного периода времени применялся алгоритм криптографического хеширования SHA1, механизм шифрования которого легко поддаётся взлому.
Уязвимость обнаружил Владимир Палант (Wladimir Palant), автор расширения AdBlock Plus для блокировки рекламы в браузерах. Самое интересное, что недостаток уже давнишний, впервые о нём заявили 9 лет (!) назад. Однако за это время разработчики Firefox так и не исправили ошибку.
«Я заглянул в исходный код и нашёл функцию sftkdb_passwordToKey (), которая преобразует пароль [веб-сайта] в ключ шифрования, применяя хеширование SHA-1 к строке, состоящей из фактического мастер-пароля и случайных символов», — написал в своём блоге Владимир Палант.
Проблема заключается в том, что счётчик цикла SHA-1 равен единице, то есть функция применяется один раз. Обычно счётчик цикла составляет 10 тыс. или больше, например, в LastPass он равен 100 тыс. Это позволяет хакерам и злоумышленникам легко расшифровать мастер-пароль и получить доступ ко всем сохранённым пользовательским паролям. По словам Паланта, видеокарта GTX 1080 способна посчитать 8,5 млн хешей SHA1 за одну секунду.
В данный момент проблема остаётся актуальной, как и тема, которую вновь поднял разработчик на официальном форуме Mozilla по обнаруженным багам. Представители компании заверили, что в скором времени выпустят новый инструмент для мастер-пароля в браузере под названием Lockbox. А пока пользователям стоит придумать более длинный пароль. Так, на всякий случай.