概要

Bitwarden、LastPass、Dashlaneなどの主要なクラウドベースのパスワードマネージャーで合計25の脆弱性が見つかりました。これらのプラットフォームは約6000万人のユーザーを対象としており、「ゼロ知識暗号化」を売りにしていますが、研究チームは攻撃者が保存された資格情報を閲覧または変更できる脆弱性があることを示しました。

研究結果

ZurichのETH Applied Cryptography Groupの研究者たちは、「悪意のあるサーバー脅威モデル」を用いて、これらのプラットフォームに存在するセキュリティ上の脆弱性を特定しました。このシナリオでは、研究チームは侵害されたサービスプロバイダーを模倣し、クライアントアプリケーション（ウェブブラウザ拡張機能など）が予期しないサーバーの振る舞いに対してどのように反応するかをテストしました。

脆弱性の詳細

• Bitwarden: 12件
• LastPass: 7件
• Dashlane: 6件

これらの脆弱性は、パスワードの復旧やアカウント共有などのユーザーフレンドリーな機能をサポートするために必要な複雑なコードによって引き起こされている可能性があります。さらに、多くのプロバイダーが1990年代の古い暗号技術に依存していることが明らかになりました。

影響と対策

Zurich ETHチームは、これらの保護を簡単にバイパスする方法を示しました。これは、サーバーにアクセス権を持つ巧妙なハッカーがデータストリームを操作して機密情報を復号化できる可能性があることを意味します。

今後の対応

研究者は、影響を受けたベンダーに対して責任ある開示プロトコルに従って通知を行い、90日間の修正期間を設けてからその結果を公開しました。ユーザーはセキュリティアーキテクチャについて透明性を提供するパスワードマネージャーを選択することを推奨しています。

結論

これらの発見により、クラウドベースのパスワードマネージャーに対するセキュリティモデルが再評価される可能性があります。ユーザーとプロバイダーは、最新かつ現代的な暗号システムへの移行を優先すべきです。

---

元記事: https://gbhackers.com/25-vulnerabilities-found-in-cloud-password-managers/