Một nhóm các nhà nghiên cứu bảo mật từ Viện Công nghệ Liên bang Thụy Sĩ (ETH Zurich) đã phân tích các trình quản lý mật khẩu phổ biến và xác định các cách thức mà tin tặc có thể xâm phạm kho lưu trữ mật khẩu của người dùng và truy cập dữ liệu nhạy cảm.
Xâm nhập thành công
Tuy nhiên, các nhà nghiên cứu không kiểm tra trình quản lý mật khẩu trước các cuộc tấn công từ bên ngoài hoặc phía máy khách. Thay vào đó, họ nhắm mục tiêu vào zero-knowledge encryption, một mô hình bảo mật mà nhà cung cấp dịch vụ không thể truy cập dữ liệu mã hóa của người dùng và dữ liệu được bảo vệ ngay cả khi máy chủ của nhà cung cấp bị xâm phạm.
Do đó, ETH Zurich đã tiến hành phân tích các trình quản lý mật khẩu dựa trên đám mây phổ biến với giả định rằng các máy chủ lưu trữ kho mật khẩu người dùng là “hoàn toàn độc hại”.
Các nhà nghiên cứu nhắm mục tiêu vào các phần mềm quản lý mật khẩu từ Bitwarden, Dashlane, LastPass và 1Password, mỗi phần mềm đều có hàng triệu người dùng và chiếm một phần đáng kể thị trường.
Một số kiểu tấn công đã được thực hiện nhằm vào từng trình quản lý mật khẩu được thử nghiệm để làm giảm mức độ bảo mật, phá vỡ các biện pháp bảo vệ dự kiến và chiếm đoạt hoàn toàn tài khoản người dùng.
Các nhà nghiên cứu tập trung vào các tính năng được sử dụng để khôi phục tài khoản và đăng nhập SSO. Họ cũng tiến hành các cuộc tấn công khai thác tính toàn vẹn kho lưu trữ không đúng cách và các cuộc tấn công được kích hoạt bởi các tính năng chia sẻ, cho phép các gia đình hoặc doanh nghiệp sử dụng cùng một thông tin đăng nhập.
Đối với mỗi trình quản lý mật khẩu được thử nghiệm, các nhà nghiên cứu đều thành công trong việc xâm nhập kho lưu trữ, bao gồm xâm nhập toàn bộ đối với Bitwarden và LastPass và một phần đối với Dashlane.
ETH Zurich đã chứng minh rằng trong nhiều trường hợp, kẻ tấn công không chỉ có thể xem thông tin đăng nhập của người dùng mà còn có thể sửa đổi chúng.
Phản ứng từ các nhà cung cấp phần mềm
Một số nhà cung cấp chỉ ra rằng, các phương thức tấn công được các nhà nghiên cứu xác định đòi hỏi phải xâm nhập hoàn toàn vào máy chủ quản lý mật khẩu và cần có kỹ năng cao để thực hiện các cuộc tấn công mã hóa. Chia sẻ với trang tin SecurityWeek, Dashlane cho biết một số phát hiện đòi hỏi “những trường hợp cụ thể hoặc một khoảng thời gian cực kỳ đáng kể”.
Các nhà cung cấp đã được thông báo và triển khai bản vá lỗi cũng như biện pháp khắc phục cho nhiều lỗ hổng bảo mật, nhưng đồng thời họ cũng chỉ ra rằng một số vấn đề rất khó giải quyết.
“Khi người dùng chia sẻ các mục, khóa đối xứng được mã hóa bằng khóa công khai của người nhận. Giống như hầu hết các hệ thống mã hóa đầu cuối (E2EE) do máy chủ trung gian, điều này tạo ra sự phụ thuộc về cấu trúc vào tính xác thực của thư mục khóa công khai. Nếu kẻ tấn công có thể thay thế khóa công khai của người dùng bằng khóa của chúng, tin tặc có thể truy cập vào nội dung của các mục chia sẻ được mã hóa bằng khóa công khai độc hại đó”, chuyên gia bảo mật Frederic Rivain của Dashlane giải thích.
Bitwarden lưu ý rằng, trong số 10 vấn đề được các nhà nghiên cứu báo cáo, mỗi vấn đề được đánh giá là có tác động trung bình hoặc thấp, trong khi bảy vấn đề đã hoặc đang trong quá trình được giải quyết. Tuy nhiên, ba trong số các lỗi “đã được chấp nhận là những quyết định thiết kế có chủ ý cần thiết cho chức năng của sản phẩm”.
LastPass đánh giá cao nghiên cứu này nhưng cũng cho rằng họ không đồng ý với một số nhận định của các ETH Zurich.
“Mặc dù đánh giá của chúng tôi về những rủi ro này có thể không hoàn toàn trùng khớp với mức độ nghiêm trọng do nhóm ETH Zurich đưa ra, chúng tôi vẫn luôn xem xét nghiêm túc tất cả các phát hiện về an ninh được báo cáo. LastPass đã triển khai nhiều biện pháp tăng cường bảo mật trong thời gian ngắn hạn, đồng thời lập kế hoạch khắc phục hoặc củng cố các thành phần liên quan của dịch vụ theo khung thời gian phù hợp với mức độ rủi ro đã được đánh giá”, người phát ngôn của LastPass cho biết.
Đối với trường hợp của 1Password, các nhà nghiên cứu đã thành công trong việc xâm phạm hoàn toàn tính bảo mật và toàn vẹn của kho dữ liệu, cho phép kẻ tấn công lấy được mật khẩu và các dữ liệu nhạy cảm khác được lưu trữ trong kho.
Tuy nhiên, theo ông Jacob DePriest, Giám đốc An ninh thông tin (CISO) và Giám đốc Công nghệ thông tin (CIO) của 1Password, các phương thức tấn công được các nhà nghiên cứu xác định đã được ghi lại trong Tài liệu thiết kế an ninh (Security Design White Paper) công khai của công ty.
“Chúng tôi cam kết liên tục tăng cường kiến trúc bảo mật của mình và đánh giá nó dựa trên các mô hình đe dọa tiên tiến, bao gồm cả các kịch bản máy chủ độc hại như được mô tả trong nghiên cứu, đồng thời phát triển nó theo thời gian để duy trì sự bảo vệ mà người dùng của chúng tôi tin tưởng”, DePriest cho biết.