La reciente auditor\u00eda de seguridad llevada a cabo por Recurity Labs ha revelado importantes vulnerabilidades en Proton Pass, un gestor de contrase\u00f1as popular. Este an\u00e1lisis se realiz\u00f3 utilizando un enfoque conocido como “grey-box”, que combina la revisi\u00f3n del c\u00f3digo fuente con pruebas din\u00e1micas sin acceso completo a la infraestructura del backend. A trav\u00e9s de este m\u00e9todo, se identificaron un total de ocho vulnerabilidades.<\/p>\n
La vulnerabilidad m\u00e1s significativa se present\u00f3 en la aplicaci\u00f3n Android de Proton Pass, obteniendo un score CVSS de 4,4 sobre 10, lo que indica un nivel de severidad medio. Este problema estaba relacionado con la gesti\u00f3n de datos locales durante el proceso de desconexi\u00f3n. Aunque Proton Pass dispone de una opci\u00f3n para eliminar estos datos, se descubri\u00f3 que algunas informaciones, como el identificador de usuario, persist\u00edan en un archivo anexo denominado db-passkey-wal<\/strong>, un componente propio de SQLite.<\/p>\n Este archivo almacena temporalmente las transacciones pendientes antes de que sean escritas en la base de datos principal. La posibilidad de que datos sensibles permanenzan en este archivo representa un riesgo considerable, ya que podr\u00edan ser recuperados en el dispositivo por un atacante. Sin embargo, esta vulnerabilidad fue corregida y confirmada como resuelta en la versi\u00f3n 1.39.2 de la aplicaci\u00f3n, lo que brinda tranquilidad a los usuarios tras el retesteo.<\/p>\n Adem\u00e1s de la grave falla en la app m\u00f3vil, se encontraron cuatro vulnerabilidades adicionales en la interfaz de l\u00ednea de comandos (CLI). Estas vulnerabilidades son de baja severidad y est\u00e1n relacionadas con la gesti\u00f3n de archivos del sistema. Las problem\u00e1ticas incluyen:<\/p>\n El an\u00e1lisis de Recurity Labs resalta la importancia de realizar auditor\u00edas de seguridad de forma regular, especialmente en aplicaciones que manejan informaci\u00f3n sensible como contrase\u00f1as. Aunque Proton Pass ha tomado medidas inmediatas para abordar las vulnerabilidades m\u00e1s cr\u00edticas, es vital que los desarrolladores mantengan un enfoque proactivo para la seguridad de sus aplicaciones.<\/p>\n Los usuarios de Proton Pass pueden estar aliviados por la pronta respuesta ante estos problemas, pero siempre deben estar atentos a posibles actualizaciones que refuercen la seguridad de sus datos. Mantener el software actualizado y seguir las mejores pr\u00e1cticas de seguridad son pasos fundamentales para proteger la informaci\u00f3n personal en la era digital.<\/p>\nImplicaciones de la Fuga de Datos<\/h4>\n
Fallas Menores en la Interfaz de L\u00ednea de Comando (CLI)<\/h3>\n
\n
Conclusiones y Recomendaciones<\/h3>\n