Uno studio dell'ETH Zurich rivela falle di sicurezza nei gestori di password in cloud come Bitwarden, LastPass e Dashlane. I ricercatori hanno dimostrato che un server compromesso può eludere le protezioni e accedere o modificare le credenziali memorizzate. Questo contraddice la promessa di crittografia senza conoscenza, dove nemmeno il fornitore dovrebbe poter vedere i dati.
L'anello debole: l'architettura client-server e il protocollo HTTP ⛓️
La ricerca ha identificato che il problema risiede nell'implementazione del protocollo tra l'applicazione client e il server. Simulando un server malevolo, sono stati in grado di intercettare e manipolare le risposte HTTP durante il processo di sincronizzazione. Questo ha permesso di iniettare codice JavaScript malevolo nel client, il quale, una volta eseguito, estrae la password principale o il vault decifrato, annullando la protezione della crittografia end-to-end.
La tua password principale invia saluti (e il resto delle chiavi) 👋
Quindi hai affidato i tuoi segreti digitali a un sistema che prometteva di essere una fortezza inespugnabile. Risulta che la porta principale aveva una serratura complessa, ma la finestra laterale era spalancata. È un promemoria che in sicurezza, la catena è forte quanto il suo anello più... creativo. Ora la tua chiave della banca e quella di Netflix sono in viaggio inaspettato su un server svizzero.