Um estudo da ETH Zurich revela falhas de segurança em três gerenciadores de senhas na nuvem amplamente utilizados. A pesquisa questiona a garantia de criptografia de conhecimento zero que esses serviços oferecem. Sob um modelo de servidor malicioso, um atacante poderia visualizar e alterar as credenciais armazenadas, comprometendo a informação dos usuários.
A brecha entre o modelo teórico e a implementação prática ⚠️
Os pesquisadores demonstraram que a arquitetura cliente-servidor atual permite ataques do tipo man-in-the-middle e de modificação de respostas do servidor. Embora a criptografia seja realizada localmente, a comunicação de metadados e a lógica da aplicação hospedada no servidor criam vetores de ataque. Um provedor mal-intencionado poderia explorar essas fraquezas para extrair segredos ou manipular a interface, sem necessidade de quebrar a criptografia subjacente.
Sua senha mestre já não é a única chave do cofre 🗝️
Parece que confiar cegamente na nuvem para guardar todas as suas chaves digitais tem suas rachaduras. Enquanto você paga por um cofre inquebrantável, resulta que o arquiteto guarda um plano secreto. Da próxima vez que seu gerenciador te pedir para atualizar, talvez não seja só para adicionar emojis, mas para tapar a porta dos fundos que um pesquisador com mais paciência que um hacker numa sexta-feira à noite encontrou.