苏黎世联邦理工学院的一项研究揭示了云密码管理器如 Bitwarden、LastPass 和 Dashlane 的安全漏洞。研究人员证明,一个被入侵的服务器可以绕过保护措施,访问或修改存储的凭证。这与零知识加密的承诺相矛盾,在这种加密中,提供商也不应该能够看到数据。
薄弱环节:客户端-服务器架构和 HTTP 协议 🕵️♂️
研究发现问题在于客户端应用程序与服务器之间协议的实现。通过模拟恶意服务器,他们能够在同步过程中拦截和操纵 HTTP 响应。这允许在客户端注入恶意 JavaScript 代码,一旦执行,该代码就会提取主密码或解密的保险库,从而抵消端到端加密的保护。
你的主密码向他们问好(以及其他所有密钥) 👋
所以你将你的数字秘密托付给了一个承诺坚不可摧的系统。结果是大门有一个复杂的锁,但侧面的窗户却大开着。这提醒我们,在安全领域,链条的强度取决于其最...有创意的环节。现在你的银行密钥和 Netflix 密钥正在瑞士服务器上进行意外旅行。