Студија откри 25 напади за враќање на лозинки кај големи cloud менаџери за лозинки

Нова студија покажа дека повеќе cloud-базирани менаџери за лозинки, вклучувајќи ги Bitwarden, Dashlane и LastPass, се подложни на напади за враќање на лозинки под одредени услови.

„Нападите варираат по сериозност – од нарушувања на интегритетот до целосна компромитација на сите vault-ови во една организација,“ изјавија истражувачите Матео Скарлата, Џовани Ториси, Матилда Бакендал и Кенет Г. Патерсон. „Поголемиот дел од нападите овозможуваат враќање на лозинки.“

Важно е да се напомене дека, според студијата на ETH Zurich и Università della Svizzera italiana, напаѓачот претпоставува постоење на злонамерен сервер и има за цел да ги испита ветувањата за zero-knowledge encryption (ZKE) што ги нудат трите решенија. ZKE е криптографска техника која му овозможува на едната страна да докаже дека поседува одредена тајна, без притоа да ја открие самата тајна.

ZKE се разликува од end-to-end encryption (E2EE). Додека E2EE се однесува на метод за заштита на податоците при нивен пренос, ZKE главно се однесува на складирање на податоците во шифрирана форма така што само лицето со клучот може да им пристапи. Производителите на менаџери за лозинки ја имплементираат ZKE со цел да ја „подобрат“ приватноста и безбедноста на корисниците, осигурувајќи дека податоците во vault-от не можат да бидат манипулирани.

Сепак, најновото истражување откри 12 различни напади врз Bitwarden, седум врз LastPass и шест врз Dashlane, кои се движат од нарушување на интегритетот на одредени кориснички vault-ови до целосна компромитација на сите vault-ови поврзани со една организација. Заедно, овие решенија за управување со лозинки опслужуваат над 60 милиони корисници и речиси 125.000 компании.

„И покрај обидите на производителите да обезбедат сигурност во ова опкружување, откривме неколку заеднички дизајнерски анти-патерни и криптографски заблуди што довеле до ранливости,“ наведуваат истражувачите во придружниот труд.

Нападите се поделени во четири главни категории:

1. Напади што го злоупотребуваат механизмот за враќање на сметка преку „Key Escrow“, со што се компромитира доверливоста кај Bitwarden и LastPass, поради ранливости во нивниот дизајн на key escrow.
2. Напади што ја злоупотребуваат неисправната енкрипција на ниво на поединечни ставки (item-level encryption) – односно шифрирање на податочни ставки и чувствителни кориснички поставки како одделни објекти, често комбинирани со нешифрирани или неавтентицирани метаподатоци – што доведува до нарушување на интегритетот, протекување на метаподатоци, замена на полиња и downgrade на функцијата за изведување клуч (KDF).
3. Напади што ги злоупотребуваат функциите за споделување со цел компромитирање на интегритетот и доверливоста на vault-от.
4. Напади што ја злоупотребуваат backwards compatibility со постар код, што резултира со downgrade напади кај Bitwarden и Dashlane.

Студијата исто така утврди дека 1Password, уште еден популарен менаџер за лозинки, е ранлив на напади поврзани со енкрипција на ниво на ставки и функции за споделување. Сепак, 1Password одлучил да ги третира овие проблеми како веќе познати архитектонски ограничувања.

На барање за коментар, Џејкоб ДеПрист, главен директор за информациска безбедност (CISO) и главен информативен директор (CIO) во 1Password, изјави за The Hacker News дека компанијата детално го разгледала трудот и не пронашла нови вектори на напад надвор од оние што веќе се документирани во нивниот јавно достапен Security Design White Paper.

„Посветени сме на континуирано зајакнување на нашата безбедносна архитектура и нејзино оценување според напредни модели на закани, вклучително и сценарија со злонамерен сервер како оние опишани во истражувањето, и нејзино унапредување со тек на време за да ги одржиме заштитите на кои се потпираат нашите корисници,“ додаде ДеПрист.

„На пример, 1Password користи Secure Remote Password (SRP) за автентикација на корисниците без пренесување на енкрипциските клучеви до нашите сервери, со што се намалува ризикот од цела класа серверски напади. Неодамна воведовме и нова можност за корпоративно управувани креденцијали, кои од самиот почеток се создадени и заштитени да издржат софистицирани закани.“

Во меѓувреме, Bitwarden, Dashlane и LastPass имплементирале контрамерки за ублажување на ризиците истакнати во истражувањето. LastPass дополнително планира да ги зајакне процесите за ресетирање на администраторска лозинка и споделување, со цел да се намали заканата од злонамерен посредник. Нема докази дека некој од овие пропусти бил злоупотребен во реални напади.

Конкретно, Dashlane поправил проблем при кој успешна компромитација на нивните сервери можела да овозможи downgrade на моделот за енкрипција што се користи за генерирање на енкрипциски клучеви и заштита на корисничките vault-ови. Проблемот бил отстранет со укинување на поддршката за застарени криптографски методи во Dashlane Extension верзија 6.2544.1, објавена во ноември 2025 година.

„Овој downgrade можел да доведе до компромитација на слаба или лесно погодлива Master Password, како и до компромитација на поединечни ‘downgraded’ ставки во vault-от,“ соопшти Dashlane. „Проблемот произлегуваше од дозволената употреба на застарена криптографија, која беше поддржана во одредени случаи поради backwards compatibility и флексибилност при миграција.“

Bitwarden изјави дека сите идентификувани проблеми се во процес на решавање. „Седум од нив веќе се решени или се во активна фаза на отстранување од страна на тимот на Bitwarden,“ соопшти компанијата. „Преостанатите три прашања се прифатени како намерни дизајнерски одлуки неопходни за функционалноста на производот.“

Во слично соопштение, LastPass наведе дека „активно работи на додавање посилни гаранции за интегритет, со подобро криптографско поврзување на ставки, полиња и метаподатоци, со цел одржување на сигурноста на интегритетот.“

Извори:

• The Hacker News – Study Uncovers 25 Password Recovery Attacks in Major Cloud Password Managers The Hacker News