Ερευνητές στο ETH Zurich ανακάλυψαν σοβαρά κενά ασφαλείας σε τρεις δημοφιλείς διαχειριστές κωδικών πρόσβασης που βασίζονται στο cloud. Στις δοκιμές τους μπόρεσαν να δουν ακόμη και να αλλάξουν αποθηκευμένους κωδικούς πρόσβασης.
Οι περισσότεροι κατασκευαστές διαχειριστών κωδικών πρόσβασης διαφημίζουν τα προϊόντα τους με την υπόσχεση της “Κρυπτογράφησης με μηδενική γνώση”. Με αυτόν τον τρόπο, υπόσχονται ότι οι αποθηκευμένοι κωδικοί πρόσβασης είναι κρυπτογραφημένοι και ότι οι ίδιοι οι κατασκευαστές δεν έχουν καμία πρόσβαση σε αυτούς.
“Η υπόσχεση είναι ότι ακόμη και αν κάποιος μπορεί να έχει πρόσβαση στον διακομιστή, αυτό δεν θα αποτελεί κίνδυνο για την ασφάλεια των πελατών, επειδή τα δεδομένα είναι κρυπτογραφημένα και επομένως δυσανάγνωστα”, αναφέρει η Matilda Backendal.
“Μπορέσαμε να αποδείξουμε ότι αυτό δεν είναι αλήθεια”.
Η Backendal διεξήγαγε τη μελέτη μαζί με τους Matteo Scarlata, Kenneth Paterson και Giovanni Torrisi από την Ερευνητική Ομάδα Εφαρμοσμένης Κρυπτογραφίας στο Ινστιτούτο για την Ασφάλεια Πληροφοριών στο ETH Zurich. Η Backendal και ο Torrisi εργάζονται επί του παρόντος στο Università della Svizzera Italiana στο Lugano.
Η ομάδα έριξε μια πιο προσεκτική ματιά στην αρχιτεκτονική ασφαλείας τριών δημοφιλών παρόχων διαχειριστών κωδικών πρόσβασης: Bitwarden, Lastpass και Dashlane.
Οι εφαρμογές έχουν περίπου 60 εκατομμύρια χρήστες παγκοσμίως και μερίδιο αγοράς στο 23%. Οι ερευνητές πραγματοποίησαν 12 επιθέσεις στην Bitwarden, 7 στην Lastpass και 6 στην Dashlane. Για το σκοπό αυτό, έστησαν τους δικούς τους διακομιστές, οι οποίοι συμπεριφέρονται με τον ίδιο τρόπο όπως ένας hacked διακομιστής ενός διαχειριστή κωδικών πρόσβασης.
“Ήμασταν έκπληκτοι με το πόσο μεγάλα είναι τα τρωτά σημεία ασφαλείας”, δήλωσε ο Paterson. Ο Matteo Scarlata, διδακτορικός φοιτητής στην ερευνητική ομάδα Applied Cryptography όταν άρχισε να αναλύει τον κώδικα των διαφόρων διαχειριστών, συνάντησε πολύ περίεργες αρχιτεκτονικές κώδικα.
Οι εταιρείες προσπαθούν να προσφέρουν στους πελάτες τους μια φιλική προς το χρήστη υπηρεσία, για παράδειγμα, τη δυνατότητα ανάκτησης κωδικών πρόσβασης ή να μοιραστούν τον δικό τους λογαριασμό με τα μέλη της οικογένειας.
“Αυτό κάνει τους κώδικες πιο περίπλοκους, μπερδεμένους και οι ιστότοποι επίθεσης για τους hacker να αυξάνονται”, εξηγεί ο Scarlata. Η ομάδα του Paterson επικοινώνησε με τους παρόχους των επηρεαζόμενων συστημάτων πριν δημοσιεύσει τα ευρήματα. Αυτές είχαν 90 ημέρες για να κλείσουν τα κενά ασφαλείας.
“Οι πάροχοι ήταν κατά κύριο λόγο συνεργάσιμοι και ευγνώμονες, αλλά δεν ήταν όλοι και τόσο γρήγοροι στην επίλυση των κενών ασφαλείας”, αναφέρει ο Paterson.
Οι προγραμματιστές των διαχειριστών κωδικών πρόσβασης δεν ήταν πολύ πρόθυμοι να ενημερώσουν τις εφαρμογές τους, επειδή φοβόντουσαν ότι οι πελάτες τους θα μπορούσαν να χάσουν την πρόσβαση στους κωδικούς πρόσβασής τους ή και άλλα προσωπικά δεδομένα. Εκτός από τους εκατομμύρια ιδιώτες, οι πελάτες περιλαμβάνουν και χιλιάδες εταιρείες που αναθέτουν ολόκληρη τη διαχείριση κωδικών πρόσβασής τους σε αυτούς τους παρόχους.
Φανταστείτε τι θα συνέβαινε αν ξαφνικά σταματούσαν να έχουν πρόσβαση στα δεδομένα τους. Για αυτό τον λόγο αυτές οι εταιρείες χρησιμοποιούν κρυπτογραφικές τεχνολογίες από τη δεκαετία του 1990, αν και είναι εδώ και αρκετό καιρό ξεπερασμένες, αναφέρει ο Scarlata.
Οι ερευνητές έκαναν συγκεκριμένες προτάσεις για την ασφάλεια των εφαρμογών.
Ο Scarlata πρότεινε την ενημέρωση στην κρυπτογράφηση των συστημάτων για όλους τους νέους πελάτες. Οι υπάρχοντες πελάτες θα μπορούσαν να επιλέξουν μόνοι τους αν θέλουν να μεταναστεύσουν στο νέο, ασφαλέστερο σύστημα και να μεταφέρουν τους κωδικούς πρόσβασής τους εκεί ή αν παραμένουν στο παλιό σύστημα – γνωρίζοντας τις υφιστάμενες ευπάθειες ασφαλείας.
https://eprint.iacr.org/2026/058
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
