क्लाउड मैनेजरों में कमजोरियां: बिटवर्डन, लास्टपास और डैशलेन उजागर 🔓

ETH Zurich का एक अध्ययन तीन व्यापक रूप से उपयोग किए जाने वाले क्लाउड पासवर्ड मैनेजरों में सुरक्षा दोषों का खुलासा करता है। यह शोध इन सेवाओं द्वारा प्रदान की जाने वाली शून्य ज्ञान एन्क्रिप्शन की गारंटी पर सवाल उठाता है। एक दुर्भावनापूर्ण सर्वर मॉडल के तहत, एक हमलावर संग्रहीत क्रेडेंशियल्स को देख और बदल सकता है, उपयोगकर्ता की जानकारी को समझौता करते हुए।

Un servidor malicioso ataca tres iconos de gestores de contraseñas (Bitwarden, LastPass, Dashlane), mostrando credenciales filtradas y alteradas en una nube digital.

सैद्धांतिक मॉडल और व्यावहारिक कार्यान्वयन के बीच की खाई ⚠️

शोधकर्ताओं ने प्रदर्शित किया कि वर्तमान क्लाइंट-सर्वर आर्किटेक्चर मैन-इन-द-मिडिल प्रकार के हमलों और सर्वर प्रतिक्रियाओं के संशोधन की अनुमति देता है। हालांकि एन्क्रिप्शन स्थानीय रूप से किया जाता है, मेटाडेटा का संचार और सर्वर पर होस्टेड एप्लिकेशन लॉजिक हमले के वेक्टर बनाते हैं। एक दुर्भावनापूर्ण प्रदाता इन कमजोरियों का शोषण करके रहस्यों को निकाल या इंटरफेस को हेरफेर कर सकता है, बिना अंतर्निहित एन्क्रिप्शन तोड़े।

आपका मास्टर पासवर्ड अब वॉल्ट की एकमात्र चाबी नहीं है 🗝️

प्रतीत होता है कि अपनी सभी डिजिटल चाबियां अंधे विश्वास के साथ क्लाउड में संग्रहीत करना इसमें दरारें ला देता है। जबकि आप एक अटूट वॉल्ट के लिए भुगतान कर रहे हैं, परिणामस्वरूप आर्किटेक्ट एक गुप्त ब्लूप्रिंट रखता है। अगली बार जब आपका मैनेजर आपको अपडेट करने के लिए कहे, तो शायद यह केवल इमोजी जोड़ने के लिए न हो, बल्कि एक शोधकर्ता द्वारा खोजी गई पिछवाड़े के दरवाजे को बंद करने के लिए हो, जिसके पास एक हैकर से अधिक धैर्य है शुक्रवार रात को।