Облачные менеджеры паролей Bitwarden, LastPass, Dashlane и 1Password уязвимы перед компрометацией сервера

Группа исследователей из Швейцарской высшей технической школы Цюриха (ETH Zurich) провела масштабный аудит безопасности четырех популярных облачных менеджеров паролей: Bitwarden, LastPass, Dashlane и 1Password. Несмотря на заявленную поддержку шифрования с нулевым разглашением (Zero Knowledge Encryption), анализ выявил 27 векторов атак, позволяющих злоумышленникам получить доступ к данным пользователей.

Модель угроз: доверие к «вредоносном серверу»

Исследование базировалось на модели угроз, предполагающей, что сервер провайдера действует злонамеренно (malicious server). Такой подход обоснован тремя факторами. Во-первых, маркетинговые заявления самих вендоров гарантируют защиту даже в случае взлома их инфраструктуры. Во-вторых, высокая ценность хранилищ делает эти сервисы приоритетной целью для хакеров. В-третьих, защита от скомпрометированного сервера уже стала стандартом в индустрии (например, в защищенных мессенджерах).

В документации всех четырех сервисов прямо указано, что ни сотрудники компаний, ни злоумышленники, захватившие сервер, не могут прочитать данные пользователя. Однако тесты показали обратное: архитектурные ошибки позволяют серверу произвольно отклоняться от ожидаемого поведения и извлекать информацию.

Детали уязвимостей по вендорам

Исследователи детально изучили методы шифрования каждого сервиса и обнаружили специфические проблемы реализации.

Bitwarden (10 млн пользователей, 11% рынка). Сервис использует шифрование AES-CBC-HMAC. Проблема заключается в том, что поля в записях хранилища (имя пользователя, пароль, URL) шифруются отдельно друг от друга. Это позволяет вредоносному серверу проводить атаки типа «вырезание и вставка» (cut-and-paste), переставляя зашифрованные блоки, и получать метаданные. Кроме того, функции восстановления доступа и организации ключей могут быть использованы для кражи всех данных из хранилища.

LastPass (33 млн пользователей, 10% рынка). Один из старейших сервисов использует AES-CBC без защиты целостности данных. Как и в Bitwarden, поля шифруются раздельно, что ведет к утечке метаданных. Отсутствие проверки целостности и особенности функции восстановления ключей позволяют серверу тривиально восстановить содержимое всего хранилища.

Dashlane (19 млн пользователей). Хранилище организовано как транзакционная база данных. По умолчанию используется AES-256 в режиме CBC с HMAC. Однако сервис сохранил поддержку устаревшего режима CBC без HMAC для совместимости. Это позволило исследователям выстроить цепочку атак через «оракул дополнения» (padding oracle), что дает возможность компрометировать хранилища через длительные целевые атаки.

1Password (миллионы пользователей). Сервис применяет двухфакторную схему защиты (мастер-пароль + 128-битный секретный ключ), что делает перебор паролей практически невозможным. Хранилища шифруются алгоритмом AES-GCM, а ключи оборачиваются через RSA-OAEP. Уязвимость была найдена именно в RSA-OAEP: отсутствие аутентификации шифротекста позволяет серверу подменять хранилища пользователей на подконтрольные злоумышленникам. Это особенно опасно для новых клиентов с пустыми хранилищами.

Классификация 27 найденных атак

Всего было выявлено 27 уязвимостей, которые эксперты разделили на четыре категории:

Реакция разработчиков

Исследователи следовали процедуре ответственного разглашения, предоставив компаниям 90 дней на устранение проблем.

Bitwarden, LastPass и Dashlane подтвердили наличие уязвимостей, приняли участие в обсуждении исправлений и уже начали процесс обновления своих систем безопасности.

Реакция 1Password отличалась: представители компании заявили, что рассматривают найденные проблемы как следствие известных архитектурных ограничений, а не как уязвимости. Компания не запрашивала отсрочку публикации и согласилась на немедленное включение информации о себе в отчет.