Um estudo do ETH Zurich revela falhas de segurança em gerenciadores de senhas na nuvem como Bitwarden, LastPass e Dashlane. Os pesquisadores demonstraram que um servidor comprometido pode contornar as proteções e acessar ou modificar as credenciais armazenadas. Isso contradiz a promessa de ciframento sem conhecimento, onde nem o provedor deveria poder ver os dados.
O elo fraco: a arquitetura cliente-servidor e o protocolo HTTP ⛓️
A pesquisa identificou que o problema reside na implementação do protocolo entre o aplicativo cliente e o servidor. Ao simular um servidor malicioso, puderam interceptar e manipular as respostas HTTP durante o processo de sincronização. Isso permitiu injetar código JavaScript malicioso no cliente, o qual, uma vez executado, extrai a senha mestra ou o vault descriptografado, anulando a proteção do ciframento de ponta a ponta.
Sua senha mestra manda saudações (e o resto das chaves) 👋
Então você confiou seus segredos digitais a um sistema que prometia ser uma fortaleza inexpugnável. Resulta que a porta principal tinha uma fechadura complexa, mas a janela do lado estava aberta de par em par. É um lembrete de que em segurança, a cadeia é tão forte quanto seu elo mais... criativo. Agora sua chave do banco e a do Netflix estão de viagem inesperada por um servidor suíço.