Исследование ETH Zurich выявило уязвимости безопасности в облачных менеджерах паролей, таких как Bitwarden, LastPass и Dashlane. Исследователи продемонстрировали, что скомпрометированный сервер может обойти защиты и получить доступ или изменить хранимые учетные данные. Это противоречит обещанию шифрования без знания, при котором даже провайдер не должен видеть данные.
Слабое звено: архитектура клиент-сервер и протокол HTTP ⛓️
Исследование выявило, что проблема кроется в реализации протокола между клиентским приложением и сервером. Симулируя вредоносный сервер, они смогли перехватывать и манипулировать HTTP-ответами во время процесса синхронизации. Это позволило внедрить вредоносный JavaScript-код в клиент, который, будучи выполнен, извлекает мастер-пароль или расшифрованный хранилище, аннулируя защиту сквозного шифрования.
Ваш мастер-пароль посылает приветствия (и остальные ключи) 👋
Итак, вы доверили свои цифровые секреты системе, которая обещала быть неприступной крепостью. Оказывается, главная дверь имела сложный замок, но боковое окно было нараспашку. Это напоминание о том, что в безопасности цепь так сильна, как ее самое... креативное звено. Теперь ключ от банка и Netflix неожиданно путешествуют по швейцарскому серверу.