- تم اكتشاف ثغرات أمنية في العديد من برامج إدارة كلمات المرور
- ابتكر الباحثون هجمات نظرية يمكنها سرقة بيانات الاعتماد
- وتجري الآن جهود الإصلاح، حيث تم بالفعل تصحيح العديد من نقاط الضعف
اكتشف الباحثون 27 نقطة ضعف في أربعة برامج لإدارة كلمات المرور الشهيرة، والتي قد تسمح للمهاجم بالوصول إلى مخزن كلمات المرور الخاص بالضحية لتغيير بيانات الاعتماد وسرقتها.
تضمن البحث الذي أجراه خبراء في ETH Zurich وUniversità della Svizzera italiana (USI) في سويسرا ثغرات أمنية في Bitwarden، والتي وجد أنها عرضة لـ 12 هجومًا، وLastPass إلى سبعة، وDashlane إلى ستة، و1Password تبين أنها عرضة لهجومين فقط.
في المجمل، تغطي برامج إدارة كلمات المرور الشهيرة هذه أكثر من 60 مليون مستخدم وما يقرب من 125000 شركة، حيث تركز الهجمات التي اكتشفها الباحثون على نقاط الضعف عبر أربع فئات – الضمان الرئيسي، وتشفير الخزينة، والمشاركة، والتوافق مع الإصدارات السابقة.
عيوب الضمان الرئيسية
تركز عيوب الضمان الرئيسية على نقاط الضعف في ميزات استرداد الحساب. أوضح الباحثون أنه غالبًا ما يتم تخزين نسخ مفاتيح التشفير الخاصة بالمستخدم للمساعدة في استرداد الحساب في حالة عدم تمكن المستخدم من الوصول إلى حسابه باستخدام كلمة المرور الرئيسية الخاصة به.
ومع ذلك، في بعض الحالات، يمكن الوصول إلى المفاتيح دون مصادقة، مما يسمح للمتسلل بالتلاعب بعملية الاسترداد للوصول إلى المفاتيح، وبالتالي الوصول إلى قبو المستخدم. بالنسبة للهجمات في هذه الفئة، وجد أن Bitwarden عرضة لثلاث هجمات وLastPass لواحدة.
عيوب تشفير Vault
أما الفئة الثانية، وهي عيوب تشفير القبو، فتركز على كيفية تشفير بيانات الاعتماد المخزنة وعنوان URL المرتبط بها داخل قبو المستخدم. وفي عدة حالات، وجد الباحثون أن الخزينة لم تكن مشفرة ككتلة واحدة، بل تم تشفير كل عنصر على حدة.
بالإضافة إلى ذلك، تم ترك معلومات أخرى حول محتويات القبو دون تشفير. تبين أن LastPass عرضة لخمس هجمات من هذا النوع، وBitwarden لأربع هجمات، وDashlane لواحدة.
في الهجمات التي تستغل هذه الثغرة الأمنية، يمكن للمهاجم نظريًا تسريب المعلومات من كل “حقل” لبيانات الاعتماد داخل المخزن لتحديد محتوياته. يمكن للمهاجم أيضًا تبديل العناصر داخل الحقل لتسريب المعلومات، أو تقديم عنوان URL المرتبط ببيانات الاعتماد بطريقة يمكن من خلالها تسريب كلمة المرور واسم المستخدم.
عيوب المشاركة
يسمح العديد من برامج إدارة كلمات المرور للمستخدمين بمشاركة بيانات الاعتماد المخزنة والمعلومات الأخرى على سبيل الراحة، مثل القدرة على مشاركة كلمة مرور Wi-Fi بسرعة مع الضيوف.
وجد الباحثون أن عملية مصادقة المستخدم قليلة جدًا عند مشاركة العناصر، مما يسمح للعديد من نواقل الهجوم التي يمكنها الكشف عن العناصر المشتركة أو تمكين المزيد من الهجمات. بالنسبة للهجمات في هذه الفئة، وجد أن Bitwarden معرضة لاثنين من الهجمات، مع LastPass وDashlane عرضة لهجوم واحد فقط.
في أحد الأمثلة، يمكن للمهاجم إنشاء “مؤسسة” وإضافة مستخدمين عشوائيين باستخدام مفتاحهم العام. يقوم مدير كلمات المرور بعد ذلك بمزامنة المستخدمين مع المؤسسة المزيفة، مما يجعل المستخدمين يبدون وكأنهم ينتمون إلى المنظمة. في بعض الحالات، يمكن للمهاجم بعد ذلك إضافة عناصر تدين إلى مخزن المستخدم، أو يمكن للمهاجم الوصول إلى كافة العناصر المخزنة داخل مجلد مشترك.
عيوب التوافق مع الإصدارات السابقة
من أجل الحفاظ على التوافق بين الإصدارات، يقدم العديد من مديري كلمات المرور دعمًا قديمًا يتيح التوافق مع طرق التشفير القديمة.
يعد هذا مناسبًا للمؤسسات والمستخدمين الذين يحتاجون إلى الوصول إلى بيانات الاعتماد المشفرة باستخدام طرق قديمة، ولكنه يوفر العديد من الفرص للمهاجمين لخفض مستوى التشفير الذي يستخدمه العميل إلى خوارزميات التشفير الأقدم، وبالتالي الأضعف. بالنسبة للهجمات في هذه الفئة، كان Dashlane عرضة لأربعة هجمات، وBitwarden لثلاثة.
تمت معالجة الثغرات الأمنية وتم إصدار التصحيحات
قبل إصدار البحث، اتصل الباحثون بجميع مزودي خدمات إدارة كلمات المرور المتأثرين كجزء من عملية الكشف لمدة 90 يومًا. وأشار الباحثون إلى أنه لا يوجد دليل على أنه تم استغلال أي من الثغرات الأمنية بشكل مباشر، وقد بدأ جميع موفري إدارة كلمات المرور المتأثرين جميعًا جهود المعالجة، مع تصحيح العديد من الثغرات الأمنية بالفعل.
على الرغم من أن 1Password كان عرضة لهجومين فقط، فقد ردت الشركة على الباحثين قائلة إن الثغرات الأمنية جزء من القيود المعمارية، مع وجود نقاط الضعف الموثقة بالفعل في ورقة عمل تصميم الأمان الخاصة بـ 1Password.
وفي حديثه إلى The Hacker News، قال جاكوب ديبريست، كبير مسؤولي أمن المعلومات وكبير مسؤولي المعلومات في 1Password: “نحن ملتزمون باستمرار بتعزيز بنية الأمان لدينا وتقييمها في مواجهة نماذج التهديد المتقدمة، بما في ذلك سيناريوهات الخوادم الضارة مثل تلك الموضحة في البحث، وتطويرها بمرور الوقت للحفاظ على وسائل الحماية التي يعتمد عليها مستخدمونا”.
وقال ديبريست: “على سبيل المثال، يستخدم 1Password كلمة المرور الآمنة عن بعد (SRP) لمصادقة المستخدمين دون إرسال مفاتيح التشفير إلى خوادمنا، مما يساعد على تخفيف فئات كاملة من الهجمات من جانب الخادم”. “وفي الآونة الأخيرة، قدمنا قدرة جديدة لبيانات الاعتماد التي تديرها المؤسسة، والتي يتم إنشاؤها وتأمينها منذ البداية لمقاومة التهديدات المتطورة.”
صرح Bitwarden في منشور بالمدونة أن “جميع المشكلات المحددة في التقرير تمت معالجتها من قبل فريق Bitwarden”، وشكر الباحثين على الكشف عن نقاط الضعف.
كما شكر كل من Dashlane وLastPass الباحثين، وقدموا تفاصيل النتائج التي توصلوا إليها حول نقاط الضعف وسبل التخفيف منها.
أفضل مدير كلمات المرور لجميع الميزانيات
التعليقات