Eine Studie des ETH Zürich deckt Sicherheitslücken in Cloud-Passwortmanagern wie Bitwarden, LastPass und Dashlane auf. Die Forscher zeigten, dass ein kompromittierter Server die Schutzmechanismen umgehen und auf gespeicherte Anmeldedaten zugreifen oder diese modifizieren kann. Dies widerspricht dem Versprechen der Zero-Knowledge-Verschlüsselung, bei der nicht einmal der Anbieter die Daten einsehen sollte.
Das schwache Glied: Die Client-Server-Architektur und das HTTP-Protokoll ⛓️
Die Untersuchung ergab, dass das Problem in der Implementierung des Protokolls zwischen Client-Anwendung und Server liegt. Indem sie einen bösartigen Server simulierten, konnten sie HTTP-Antworten während des Synchronisierungsprozesses abfangen und manipulieren. Dies ermöglichte die Injektion von bösartigem JavaScript-Code in den Client, der nach der Ausführung das Masterpasswort oder den entschlüsselten Tresor extrahiert und damit den Schutz der End-to-End-Verschlüsselung aufhebt.
Dein Masterpasswort grüßt (und der Rest der Schlüssel) 👋
Du hast also deine digitalen Geheimnisse einem System anvertraut, das als uneinnehmbare Festung versprochen wurde. Es stellt sich heraus, dass die Haustür ein kompliziertes Schloss hatte, aber das Fenster auf der Seite weit offen stand. Es ist eine Erinnerung daran, dass in der Sicherheit die Kette nur so stark ist wie ihr schwächstes... kreativstes Glied. Nun sind dein Bank-Schlüssel und der von Netflix auf unvorhergesehener Reise durch einen Schweizer Server.