Uno studio dell'ETH Zurich rivela falle di sicurezza in tre gestori di password in cloud ampiamente utilizzati. La ricerca mette in discussione la garanzia di crittografia zero-knowledge offerta da questi servizi. Sotto un modello di server malevolo, un attaccante potrebbe visualizzare e alterare le credenziali memorizzate, compromettendo le informazioni degli utenti.
La breccia tra il modello teorico e l'implementazione pratica ⚠️
I ricercatori hanno dimostrato che l'architettura client-server attuale permette attacchi di tipo man-in-the-middle e di modifica delle risposte del server. Sebbene la crittografia venga eseguita localmente, la comunicazione dei metadati e la logica dell'applicazione ospitata sul server creano vettori di attacco. Un fornitore malevolo potrebbe sfruttare queste debolezze per estrarre segreti o manipolare l'interfaccia, senza necessità di rompere la crittografia sottostante.
La tua password principale non è più l'unica chiave della cassaforte 🗝️
Sembra che fidarsi ciecamente del cloud per conservare tutte le tue chiavi digitali abbia le sue crepe. Mentre paghi per una cassaforte inattaccabile, risulta che l'architetto custodisce un piano segreto. La prossima volta che il tuo gestore ti chiederà di aggiornare, forse non sarà solo per aggiungere emoji, ma per tappare la porta sul retro che ha trovato un ricercatore con più pazienza di un hacker un venerdì sera.