Keybase está notificando a los usuarios de Android sobre un bug que consiste en realización de forma involuntaria copias de seguridad de las claves privadas de su sistema generadas por los usuarios que eran subidas a los servidores del gigante de buscador.

Keybase es una empresa que ofrece un catálogo de herramientas para comunicaciones cifradas y pruebas de identidad. El email que ha enviado a los usuarios de Android avisa de que el bug hallado en su aplicación ha sido corregido, además de mostrar las instrucciones para forzar la generación de una nueva clave privada, la cual es usada por el sistema de Keybase como parte de su sistema pares de claves público-privado para verificar la identidad y cifrar las conversaciones enviadas a través de su servicio de chat. Los usuarios que han respaldado sus dispositivos Android a través de Google Play y los que han reutilizado la misma frase de contraseña procedente de otras cuentas o débil también están afectados.

Según Keybase, los usuarios afectados son los que empezaron a utilizar algunas de las primeras versiones beta de la aplicación para Android, estimando que estos solo representan un 10% de todos los que usan actualmente el sistema de Google para acceder a su ecosistema. Conociendo que en total tiene unos 205.000, no se puede saber cuántos usuarios se han visto perjudicados por el bug.

El sistema de Keybase genera un par de claves por cada dispositivo con el que se accede, esto permite al usuario gestionar de forma remota las que vaya generando, pudiendo revocar una clave cuando un dispositivo se pierde o es robado. Sobre el bug hallado en la aplicación, a aquellos que utilizaron las primeras versiones beta se les sugirió subir a los servicios de Google una copia de la clave cifrada. Algunos entendieron que aquello era una característica de copias de seguridad para trasvasar entre distintos dispositivos, pero en realidad era un fallo.

Ante el posible revuelo que se podría generar, la empresa ha comentado que el fallo solo pone en peligro a los usuarios que han elegido una contraseña débil, además que, al estar alojada la clave en los servicios de Google, primero necesitaría conocer la contraseña para acceder al ecosistema del gigante del buscador.

Sobre el funcionamiento de Keybase, permite a los usuarios registrar una cuenta y usarla como una central para verificar perfiles en otros sitios online, además de los dispositivos usados. Esto hace que un atacante, en caso de conseguir una frase de contraseña, no pueda suplantar fácilmente al menos que envíe mensajes desde uno de los dispositivos verificados por el usuario legítimo. Sin embargo, en caso de hacerse un atacante con la clave privada, ya tiene todo lo que necesita para realizar la suplantación.

Fuente: BleepingComputer