Исследование ETH Zurich выявило уязвимости безопасности в трех широко используемых облачных менеджерах паролей. Исследование ставит под сомнение гарантию шифрования нулевого знания, которую предлагают эти сервисы. В модели с вредоносным сервером злоумышленник мог бы просматривать и изменять хранимые учетные данные, компрометируя информацию пользователей.
Разрыв между теоретической моделью и практической реализацией ⚠️
Исследователи продемонстрировали, что текущая архитектура клиент-сервер позволяет атаки типа man-in-the-middle и модификацию ответов сервера. Хотя шифрование выполняется локально, обмен метаданными и логика приложения, размещенная на сервере, создают векторы атаки. Ненадежный провайдер мог бы эксплуатировать эти слабости для извлечения секретов или манипуляции интерфейсом, без необходимости взламывать базовое шифрование.
Ваш мастер-пароль больше не единственный ключ к хранилищу 🗝️
Похоже, что слепо доверять облаку для хранения всех ваших цифровых ключей имеет свои трещины. Пока вы платите за несокрушимое хранилище, оказывается, что архитектор хранит секретный план. В следующий раз, когда ваш менеджер попросит обновиться, возможно, это не только для добавления эмодзи, а чтобы заткнуть черный ход, который нашел исследователь с большим терпением, чем хакер в пятницу вечером.