ثغرات في مديري السحابة تشكك في التشفير صفر المعرفة 🔓

كشف دراسة من ETH Zurich عن ثغرات أمنية في مديري كلمات المرور السحابيين مثل Bitwarden وLastPass وDashlane. أظهر الباحثون أن خادمًا مخترقًا يمكنه التحايل على الحمايات والوصول إلى الاعتمادات المخزنة أو تعديلها. هذا يتعارض مع وعد التشفير بدون معرفة، حيث لا يجب أن يتمكن المزود من رؤية البيانات.

Un servidor comprometido accede a un gestor de contraseñas cifrado, burlando la protección zero-knowledge prometida.

الحلقة الضعيفة: الهندسة المعمارية للعميل-الخادم والبروتوكول HTTP ⛓️

حددت البحث أن المشكلة تكمن في تنفيذ البروتوكول بين تطبيق العميل والخادم. من خلال محاكاة خادم ضار، تمكنوا من اعتراض وتعديل الردود HTTP أثناء عملية المزامنة. هذا سمح بحقن كود JavaScript ضار في العميل، والذي، بمجرد تنفيذه، يستخرج كلمة المرور الرئيسية أو الخزنة المفكوكة، مما يلغي حماية التشفير من طرف إلى طرف.

كلمة مرورك الرئيسية ترسل تحياتها (وباقي المفاتيح) 👋

لذا فقد وثقت أسرارك الرقمية في نظام وعد بأن يكون حصنًا منيعًا. يتبين أن الباب الرئيسي كان له قفل معقد، لكن نافذة الجانب كانت مفتوحة على مصراعيها. إنه تذكير بأن في الأمان، السلسلة قوية بقدر حلقتها الأضعف... الأكثر إبداعًا. الآن مفتاح بنكك ومفتاح Netflix في رحلة غير متوقعة عبر خادم سويسري.