Eine Studie der ETH Zürich deckt Sicherheitslücken in drei weit verbreiteten Cloud-Passwortmanagern auf. Die Untersuchung stellt die Garantie des Zero-Knowledge-Verschlüsselungs in Frage, die diese Dienste bieten. Unter einem Modell eines bösartigen Servers könnte ein Angreifer die gespeicherten Anmeldedaten einsehen und verändern, was die Nutzerinformationen kompromittiert.
Die Kluft zwischen theoretischem Modell und praktischer Umsetzung ⚠️
Die Forscher zeigten, dass die aktuelle Client-Server-Architektur Angriffe vom Typ Man-in-the-Middle und Modifikation von Serverantworten ermöglicht. Obwohl die Verschlüsselung lokal erfolgt, erzeugen die Kommunikation von Metadaten und die auf dem Server gehostete Anwendungslogik Angriffsvektoren. Ein bösartiger Anbieter könnte diese Schwächen ausnutzen, um Geheimnisse zu extrahieren oder die Oberfläche zu manipulieren, ohne die zugrunde liegende Verschlüsselung zu knacken.
Dein Master-Passwort ist nicht mehr der einzige Schlüssel zum Tresor 🗝️
Es scheint, dass blindes Vertrauen in die Cloud, um all deine digitalen Schlüssel aufzubewahren, Risse hat. Während du für einen unzerbrechlichen Tresor zahlst, bewahrt der Architekt einen geheimen Bauplan auf. Beim nächsten Mal, wenn dein Manager ein Update verlangt, ist es vielleicht nicht nur, um Emojis hinzuzufügen, sondern um die Hintertür zu stopfen, die ein Forscher mit mehr Geduld als ein Hacker am Freitagabend gefunden hat.