Исследование показывает, что облачные менеджеры паролей остаются привлекательной целью для опытных хакеров из‑за большого количества чувствительных данных в их хранилищах. Группа прикладной криптографии (Applied Cryptography Group) при ETH Zurich провела детальный анализ трёх популярных сервисов — Bitwarden, Lastpass и Dashlane — и обнаружила серьёзные проблемы безопасности.
В состав команды вошли Matilda Backendal, Matteo Scarlata, Kenneth Paterson и Giovanni Torrisi; Backendal и Torrisi сейчас работают в Università della Svizzera italiana в Лугано. Вместе эти три провайдера обслуживают около 60 миллионов пользователей и занимают примерно 23% рынка. Исследователи приняли модель угроз «злонамеренный сервер» и имитировали взломанные серверы, после чего продемонстрировали 12 атак на Bitwarden, 7 на LastPass и 6 на Dashlane. Атаки охватывали сценарии от компрометации отдельных пользовательских хранилищ до полного взлома всех хранилищ организации.
Команда отметила, что все атаки использовали обычные взаимодействия пользователей — вход в систему, открытие хранилища, просмотр паролей и синхронизацию. Scarlata указал на необычную архитектуру кода и то, что функции вроде восстановления пароля и совместного доступа увеличили поверхность атаки. Исследователи также подчеркнули, что многие провайдеры продолжают опираться на криптографию старых стандартов.
Учёные следовали практике ответственного раскрытия и связались с компаниями до публикации, дав им 90 дней на исправления. Paterson отметил, что большинство провайдеров сотрудничали, но не все действовали быстро, а разработчики опасаются, что обновления могут привести к потере доступа пользователей к их данным.
- Рекомендации: обновлять системы для новых пользователей.
- Предлагать существующим клиентам варианты миграции.
- Делать прозрачной политику безопасности и по умолчанию включать сквозное шифрование.
Сложные слова
- прикладная криптография — область криптографии для практических задач и приложенийприкладной криптографии
- модель угроз — описание возможных атак и источников риска
- злонамеренный сервер — сервер, контролируемый злоумышленником для атак«злонамеренный сервер»
- компрометация — нарушение безопасности и получение несанкционированного доступакомпрометации
- поверхность атаки — все точки, через которые возможна атака
- сквозное шифрование — шифрование данных от отправителя до получателя
- ответственное раскрытие — сообщение об уязвимости разработчику до публикацииответственного раскрытия
- миграция — перенос данных или пользователей на новую системумиграции
Подсказка: наведите, сфокусируйтесь или нажмите на выделенные слова, чтобы увидеть краткие определения прямо во время чтения или прослушивания.
Вопросы для обсуждения
- Какие преимущества и риски вы видите в практике ответственного раскрытия уязвимостей, описанной в статье?
- Как компании, которые предоставляют менеджеры паролей, могут уменьшить риск потери доступа пользователей при обновлениях?
- Как по‑вашему влияет по умолчанию включенное сквозное шифрование на безопасность и удобство пользователей?
Похожие статьи
ИИ‑порно: риски и последствия для ЛГБТК+
Искусственный интеллект упростил создание реалистичной порнографии, и это вызывает правовые и этические проблемы. Эксперты говорят о рисках для ЛГБТК+ сообществ, о серой правовой зоне и росте случаев использования изображений без согласия.
Виндхук: запуск спутниковой системы раннего оповещения SEWA
На форуме в Виндхуке (Намибия) 23–27 июня представили SEWA — спутниковую систему раннего оповещения. Система и связанная программа ClimSA должны улучшить доступ к климатическим данным и помочь Африке готовиться к погодным и климатическим рискам.