Результати нового дослідження менеджерів паролів
Нове дослідження, проведене фахівцями з ETH Zurich та USI Lugano, виявило потенційні вразливості у деяких популярних менеджерах паролів. Всупереч запевненням про “нульове розкриття інформації” (zero-knowledge), за певних умов ці сервіси можуть дозволяти доступ до вмісту сховищ, а в деяких випадках – навіть викрадати дані. Менеджери паролів стали надзвичайно популярними інструментами для зберігання чутливої інформації, включаючи паролі, фінансові дані, криптогаманці та платіжні картки. Багато сервісів стверджують, що навіть у випадку злому їхніх серверів, дані користувачів залишаться недоступними. Наприклад, Bitwarden заявляє, що “навіть команда Bitwarden не може прочитати ваші дані”, Dashlane наголошує, що без головного пароля “зловмисники не зможуть вкрасти інформацію, навіть якщо сервери скомпрометовані”, а LastPass стверджує, що доступ до сховища має виключно користувач. Однак, дослідження показало, що ці запевнення можуть бути не завжди правдивими, особливо коли активні функції відновлення доступу або спільного використання. Вчені дійшли висновку, що зламаний або контрольований зловмисниками сервер може отримати доступ до даних, а іноді й до всього сховища.
Типові сценарії атак та їх наслідки
За словами дослідників, описані вразливості, хоча й численні, не завжди є технічно складними. Більшість атак полягає в маніпуляціях з ключами шифрування чи налаштуваннями, які сервер надає клієнтській програмі. Якщо сервер перебуває під контролем зловмисника, він може підмінити ключі, таким чином отримуючи доступ до зашифрованих даних. Найбільш небезпечні сценарії, виявлені в Bitwarden та LastPass, дозволяють не тільки читати, але й змінювати вміст сховища. Часто це пов’язано з механізмами відновлення облікового запису, які використовуються, коли користувач забуває свій головний пароль.
Вразливості, пов’язані зі спільним доступом та відновленням
Існує окремий сценарій, що стосується запрошення нових користувачів до родинної чи організаційної групи. Під час реєстрації клієнт отримує ключі від сервера, які він використовує для шифрування даних для відновлення доступу. Якщо зловмисник замінить відкритий ключ групи своїм, він зможе розшифрувати ці дані та відновити обліковий запис від імені жертви. Після прийняття запрошення, хакер фактично отримує повний контроль над сховищем користувача. Ця атака часто спрацьовує, коли увімкнено автоматичне відновлення доступу. Проблема полягає в тому, що система не перевіряє, чи справді цей режим дозволений користувачем чи адміністратором. Таким чином, зловмисник може нав’язати автоматичне відновлення, навіть якщо було обрано ручне. Отримавши ключ групи, хакер також може отримати доступ до інших груп, де є спільні користувачі.
Вердикт ІТ-Блогу: Це оновлення є важливим для всіх користувачів менеджерів паролів, особливо тих, хто використовує функції спільного доступу чи відновлення облікового запису. Рекомендується уважно переглянути налаштування безпеки та розглянути можливість тимчасового відключення певних функцій до виправлення вразливостей.
Інформація підготовлена на основі матеріалів: itc.ua