क्लाउड मैनेजर्स में कमजोरियाँ जीरो-नॉलेज एन्क्रिप्शन पर सवाल उठाती हैं 🔓

ETH Zurich का एक अध्ययन Bitwarden, LastPass और Dashlane जैसे क्लाउड पासवर्ड मैनेजरों में सुरक्षा दोषों का खुलासा करता है। शोधकर्ताओं ने प्रदर्शित किया कि एक समझौता किया गया सर्वर सुरक्षा उपायों को चकमा दे सकता है और संग्रहीत क्रेडेंशियल्स तक पहुंच या संशोधन कर सकता है। यह zero-knowledge एन्क्रिप्शन की प्रतिज्ञा का खंडन करता है, जहां प्रदाता को डेटा नहीं देखना चाहिए।

Un servidor comprometido accede a un gestor de contraseñas cifrado, burlando la protección zero-knowledge prometida.

कमजोर कड़ी: क्लाइंट-सर्वर आर्किटेक्चर और HTTP प्रोटोकॉल ⛓️

अनुसंधान ने पहचाना कि समस्या क्लाइंट ऐप्लिकेशन और सर्वर के बीच प्रोटोकॉल के कार्यान्वयन में निहित है। एक दुर्भावनापूर्ण सर्वर का अनुकरण करके, वे सिंक्रनाइजेशन प्रक्रिया के दौरान HTTP प्रतिक्रियाओं को अवरुद्ध और हेरफेर कर सके। इससे क्लाइंट में दुर्भावनापूर्ण JavaScript कोड इंजेक्ट करना संभव हो गया, जो एक बार निष्पादित होने पर मास्टर पासवर्ड या अनलॉक किया गया वॉल्ट निकाल लेता है, एंड-टू-एंड एन्क्रिप्शन की सुरक्षा को निष्क्रिय कर देता है।

आपका मास्टर पासवर्ड उन्हें सलाम भेजता है (और बाकी कीज भी) 👋

तो आपने अपने डिजिटल रहस्यों को एक ऐसी प्रणाली को सौंप दिया जो अभेद्य किले होने का वादा करती थी। पता चला कि मुख्य द्वार पर जटिल ताला था, लेकिन बगल की खिड़की पूरी तरह खुली थी। यह सुरक्षा में एक याद दिलाता है कि चेन उतनी ही मजबूत होती है जितना उसका सबसे... रचनात्मक कड़ी। अब आपका बैंक कुंजी और Netflix की कुंजी एक अप्रत्याशित स्विस सर्वर यात्रा पर हैं।