ETH Zurich의 연구에서 Bitwarden, LastPass, Dashlane과 같은 클라우드 비밀번호 관리자에서 보안 결함이 드러났습니다. 연구원들은 손상된 서버가 보호를 우회하여 저장된 자격 증명에 접근하거나 수정할 수 있음을 입증했습니다. 이는 zero-knowledge 암호화의 약속, 즉 제공자조차 데이터를 볼 수 없어야 한다는 점과 모순됩니다.
약한 고리: 클라이언트-서버 아키텍처와 HTTP 프로토콜 🕵️♂️
연구에서 문제는 클라이언트 애플리케이션과 서버 간 프로토콜 구현에 있음을 확인했습니다. 악의적인 서버를 시뮬레이션하여 동기화 과정에서 HTTP 응답을 가로채고 조작할 수 있었습니다. 이를 통해 클라이언트에 악의적인 JavaScript 코드를 주입할 수 있었으며, 실행되면 마스터 비밀번호나 복호화된 볼트(vault)를 추출하여 종단 간 암호화 보호를 무효화했습니다.
당신의 마스터 비밀번호가 인사 전하며 (나머지 키들도) 👋
그래서 당신은 자신의 디지털 비밀을 난공불락의 요새라고 약속한 시스템에 맡겼습니다. 결과적으로 정문은 복잡한 자물쇠를 가졌지만 옆 창문은 활짝 열려 있었습니다. 보안에서 체인은 가장... 창의적인 고리만큼 강하다는 것을 상기시켜줍니다. 이제 당신의 은행 키와 Netflix 키가 예상치 못한 스위스 서버 여행 중입니다.