ETH Zurich의 연구에서 널리 사용되는 세 개의 클라우드 비밀번호 관리자에서 보안 결함이 드러났습니다. 이 연구는 이러한 서비스가 제공하는 제로 지식 암호화 보증에 의문을 제기합니다. 악의적인 서버 모델 하에서 공격자는 저장된 자격 증명을 시각화하고 변경할 수 있으며, 사용자 정보를 손상시킬 수 있습니다.
이론적 모델과 실제 구현 간의 격차 ⚠️
연구원들은 현재 클라이언트-서버 아키텍처가 man-in-the-middle 유형의 공격과 서버 응답 수정 공격을 허용한다는 것을 입증했습니다. 암호화는 로컬에서 수행되지만, 메타데이터 통신과 서버에 호스팅된 애플리케이션 로직이 공격 벡터를 생성합니다. 악의적인 제공자는 이러한 약점을 이용하여 비밀을 추출하거나 인터페이스를 조작할 수 있으며, 기본 암호화를 깨뜨릴 필요가 없습니다.
당신의 마스터 비밀번호가 더 이상 금고의 유일한 열쇠가 아니다 🗝️
모든 디지털 키를 클라우드에 맹목적으로 맡기는 것이 균열이 있다는 것이 보입니다. 깨지지 않는 금고에 돈을 지불하는 동안, 건축가가 비밀 설계도를 보관하고 있다는 것이 밝혀졌습니다. 다음에 관리자가 업데이트를 요청할 때, 이는 단순히 이모지를 추가하기 위해서가 아니라, 금요일 밤 해커보다 더 인내심 있는 연구원이 발견한 뒷문을 막기 위함일 수 있습니다.