ETH Zurich の研究が、広く利用されている3つのクラウドパスワードマネージャーにセキュリティの欠陥があることを明らかにしました。この研究は、これらのサービスが提供するゼロ知識暗号化の保証に疑問を投げかけています。悪意あるサーバーモデルの下で、攻撃者は保存された認証情報を閲覧・改ざんでき、ユーザーの情報を危険にさらす可能性があります。
理論モデルと実装の間のギャップ ⚠️
研究者たちは、現在のクライアント-サーバーアーキテクチャがman-in-the-middle攻撃やサーバー応答の改ざん攻撃を可能にすることを実証しました。暗号化はローカルで行われますが、メタデータの通信とサーバーにホストされたアプリケーションのロジックが攻撃ベクトルを作成します。悪意あるプロバイダーは、これらの弱点を悪用して秘密を抽出したりインターフェースを操作したりでき、基盤となる暗号化を破る必要はありません。
あなたのマスターパスワードはもう金庫の唯一の鍵ではない 🗝️
すべてのデジタルキーをクラウドに盲目的に預けるのは、亀裂があるようです。壊れない金庫のために支払っているのに、建築家が秘密の設計図を持っていることが判明しました。次にマネージャーが更新を求められたら、それは絵文字を追加するためだけではなく、金曜の夜にハッカーより忍耐強い研究者が見つけた裏口を塞ぐためかもしれません。