ثغرات في مديري السحابة: بيتواردن ولاست باس وداشلين معرضون 🔓

كشف دراسة من ETH Zurich عن ثغرات أمنية في ثلاثة مديري كلمات مرور سحابيين شائعي الاستخدام. تُشكك البحث في ضمان التشفير عدم المعرفة الذي يقدمه هذه الخدمات. تحت نموذج خادم ضار، يمكن لمهاجم عرض وتعديل بيانات الاعتماد المخزنة، مما يعرض معلومات المستخدمين للخطر.

Un servidor malicioso ataca tres iconos de gestores de contraseñas (Bitwarden, LastPass, Dashlane), mostrando credenciales filtradas y alteradas en una nube digital.

الفجوة بين النموذج النظري والتنفيذ العملي ⚠️

أظهر الباحثون أن الهندسة المعمارية الحالية للعميل-الخادم تسمح بهجمات من نوع الرجل في الوسط وتعديل استجابات الخادم. على الرغم من أن التشفير يتم محليًا، إلا أن تبادل البيانات الوصفية ومنطق التطبيق الموجود على الخادم يخلقان متجهات هجوم. يمكن لمزود ضار استغلال هذه الضعف لاستخراج الأسرار أو التلاعب بواجهة المستخدم، دون الحاجة إلى كسر التشفير الأساسي.

كلمة مرورك الرئيسية لم تعد المفتاح الوحيد للخزنة 🗝️

يبدو أن الثقة العمياء في السحابة لحفظ جميع مفاتيحك الرقمية لها شقوقها. بينما تدفع مقابل خزنة لا تُكسر، يتبين أن المهندس يحتفظ بخريطة سرية. في المرة القادمة التي يطلب فيها مديرك التحديث، ربما ليس فقط لإضافة الإيموجي، بل لسد الباب الخلفي الذي وجده باحث أكثر صبرًا من هاكر في ليلة جمعة.