Hack Alerta

Técnica VaultJacking rouba todo o cofre do Google Password Manager com um PIN

Por Redação Hack Alerta Publicado em 28/05/2026 16:09 Cyber ataques Tempo de leitura: 5 min

Técnica VaultJacking rouba todo o cofre do Google Password Manager com um PIN. Phishu documenta ataque que explora sincronização de credenciais sem malware.

Descoberta e escopo da técnica

Uma nova técnica de phishing chamada VaultJacking emergiu, levantando sérios alarmes em toda a comunidade de cibersegurança. Com apenas um único PIN de 6 dígitos capturado, um atacante pode levar embora todo o cofre do Google Password Manager, incluindo todas as senhas e chaves de acesso salvas dentro dele. Isso não é um risco teórico, pois é um ataque totalmente demonstrado, de ponta a ponta, que explora a maneira como o Google sincroniza credenciais entre dispositivos.

A pesquisa foi identificada e documentada por pesquisadores da Phishu, que descreveram a técnica completa dentro do framework de simulação de adversário PhishU. O ataque explora o Serviço de Token de Segurança do Google e seu uso de um Segredo de Nível de Segurança para desbloquear a sincronização entre dispositivos. Quando o PIN correto do GPM é inserido na página de phishing, ele desbloqueia o Segredo de Nível de Segurança na infraestrutura do operador, descriptografa o cofre sincronizado e envia todas as credenciais salvas diretamente para o atacante.

Análise técnica detalhada

O que torna o VaultJacking particularmente perigoso é como ele contorna a defesa de Credenciais de Sessão de Dispositivo Vivo do Google. O componente de sincronização do atacante usa as credenciais capturadas e uma chave de acesso de propriedade do operador para autenticar da infraestrutura do operador, bem depois que os cookies de sessão originais expiraram. Não é necessário um ponto de apoio pré-existente no dispositivo da vítima e nenhum malware precisa ser instalado previamente.

O framework PhishU do componente sync-dup dirige uma nova instância do Chrome com o PIN capturado e a chave de acesso de propriedade do operador, autentica na conta do Google da vítima da infraestrutura do operador e baixa todas as senhas e chaves de acesso sincronizadas no cofre. As chaves de acesso no Chrome 359 e posteriores escrevem seus bytes de chave privada no banco de dados SQLite de Chaves de Acesso local. Esses bytes brutos viajam com o payload de sincronização, o que significa que até mesmo chaves de acesso baseadas em hardware são recuperadas.

Impacto e alcance

O impacto deste ataque é massivo para usuários individuais e corporativos que dependem do Google Password Manager. Como não há necessidade de malware ou acesso físico ao dispositivo, a barreira para o ataque é extremamente baixa. Um único evento de phishing bem-sucedido pode comprometer todas as contas salvas, incluindo logins de terceiros, chaves de acesso e credenciais de serviços financeiros.

Além disso, o ataque não distingue entre credenciais de trabalho e pessoais se o mesmo perfil do Chrome for usado. Isso significa que um agente de phishing direcionado ao trabalho pode expor o cofre pessoal junto com as credenciais de trabalho. A sincronização de credenciais introduz um risco desproporcional quando seu segredo de desbloqueio é capturado através de um único evento de phishing bem cronometrado.

Medidas de mitigação recomendadas

Os profissionais de segurança devem tratar isso como uma troca de design aceita, em vez de um bug não corrigido aguardando uma correção do fornecedor. A Phishu delineou vários passos práticos que organizações e indivíduos podem tomar para reduzir sua exposição:

  • Evitar usar um perfil do Chrome de trabalho para armazenar credenciais de sites pessoais.
  • Usar um perfil do Chrome dedicado para armazenar credenciais de sites pessoais e chaves de acesso separadamente.
  • Implantar gerenciadores de senhas on-premises para ambientes que nunca interagem com a sincronização do Google.
  • Treinar usuários para tratar notificações como "nova chave de acesso adicionada" ou "novo login no Windows" como eventos de autenticação que valem a pena verificar sempre.

Organizações que implantaram chaves de acesso sem também impor monitoramento resistente à autenticação e governança de domínio de segurança já estão operando contra este modelo de ameaça exato.

Implicações regulatórias (LGPD)

O comprometimento de credenciais de senha pode levar a violações de dados pessoais. Se as credenciais salvas incluírem dados sensíveis ou acesso a sistemas corporativos, a organização pode ser responsabilizada sob a LGPD. A falha em educar os usuários sobre os riscos de sincronização e phishing pode ser considerada uma falha de segurança razoável.

O que os CISOs devem fazer imediatamente

Os CISOs devem revisar as políticas de uso de gerenciadores de senhas na organização. É crucial implementar monitoramento de sincronização e alertas para novos dispositivos ou chaves de acesso adicionadas. Além disso, a segmentação de perfis de navegador entre trabalho e pessoal deve ser reforçada para limitar o impacto de um possível comprometimento.

Perguntas frequentes

É necessário instalar malware? Não, o ataque não requer instalação de malware no dispositivo da vítima.

Como proteger minhas senhas? Use perfis de navegador separados e considere gerenciadores de senhas on-premises para dados críticos.

O Google vai corrigir isso? Os pesquisadores tratam isso como uma troca de design, sugerindo que a mitigação deve vir de práticas de segurança do usuário e da organização.

Baseado em publicação original de Cyber Security News
Tags: #=google #password-manager #phishing #vaultjacking #segurança #senha #passkey #sincronização #ciso
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar