ETH Zurichの研究が、Bitwarden、LastPass、Dashlaneなどのクラウドパスワードマネージャーのセキュリティ欠陥を明らかにしました。研究者らは、侵害されたサーバーが保護を回避し、保存された認証情報をアクセスまたは変更できることを実証しました。これは、プロバイダーさえデータを見ることができないはずのzero-knowledge暗号化の約束に反します。
弱点:クライアント-サーバーアーキテクチャとHTTPプロトコル 🕵️♂️
研究では、クライアントアプリケーションとサーバー間のプロトコルの実装に問題があることが特定されました。悪意あるサーバーをシミュレートすることで、同期プロセス中にHTTP応答を傍受・操作できました。これにより、クライアントに悪意あるJavaScriptコードを注入し、実行されるとマスターパスワードや復号されたボルトを抽出して、エンドツーエンド暗号化の保護を無効化しました。
あなたのマスターパスワードが挨拶を送っています(そして他のキーも) 👋
あなたはデジタルシークレットを難攻不落の要塞を約束するシステムに託しました。ところが正面のドアは複雑な錠前でしたが、横の窓は大きく開いていました。セキュリティでは、チェーンは最も...創造的な弱い環ほど強いという教訓です。今、あなたの銀行キーやNetflixキーがスイスのサーバーで予期せぬ旅に出ています。