Parol menecerlərində şəxsi şifrlərin ələ keçirilməsi riski mövcuddur

Təhlükəsizlik tədqiqatçıları tərəfindən aparılmış araşdırmalar çərçivəsində geniş istifadə olunan parol menecerlərinin təhlükəsizlik dayanıqlığı qiymətləndirilmiş və təhdid aktorlarının istifadəçilərə məxsus parol saxlanclarını (vault) ələ keçirməklə məxfi məlumatlara icazəsiz çıxış əldə etməsinə şərait yarada biləcək zəifliklər və mümkün hücum senariləri müəyyənləşdirilmişdir. Qeyd olunmalıdır ki, tədqiqat xarici və ya müştəri-tərəfli (client-side) hücumlar üzrə sınaqlara deyil “zero-knowledge” şifrələmə modelinin etibarlılığının yoxlanılmasına yönəldilmişdir. Bu modelə əsasən xidmət təminatçısı istifadəçinin şifrələnmiş məlumatlarını oxumaq imkanına malik olmamalı və təminatçının serverləri komprometasiya edildiyi halda belə məlumatların mühafizəsi təmin edilməlidir.

Bu yanaşma əsasında tədqiqatçılar geniş istifadə olunan bulud əsaslı parol menecerləri üzrə təhlillər aparmış və istifadəçilərin parol saxlanclarının yerləşdiyi serverlərin “tamamilə zərərli” (fully malicious) olduğu fərziyyəsindən çıxış etmişlər. Araşdırmaya Bitwarden, Dashlane, LastPass və 1Password daxil edilmiş, bazarda əhəmiyyətli paya və milyonlarla istifadəçiyə malik bu məhsullar üzrə qiymətləndirmələr aparılmışdır. Bununla belə, 1Password araşdırma çərçivəsinə daxil edilsə də təhlilin əsas hissəsi digər həllər üzərində cəmlənmişdir.

Sınaqlar zamanı təhlükəsizlik zəmanətlərini zəiflətmək, gözlənilən mühafizə mexanizmlərini aşmaq və nəticədə istifadəçi hesablarını ələ keçirmək məqsədilə müxtəlif hücum senariləri tətbiq olunmuşdur. Xüsusilə hesabın bərpası (account recovery), SSO (Single Sign-On) vasitəsilə giriş, geriyə uyğunluq (backward compatibility) mexanizmləri, eləcə də paylaşma funksiyaları üzərindən formalaşa bilən risklər araşdırılmışdır. Bundan əlavə, parol saxlancının bütövlüyünün (vault integrity) lazımi səviyyədə təmin edilməməsi ilə bağlı zəifliklərdən yararlanmaqla mümkün hücum ssenariləri qiymətləndirilmişdir.

Nəticələrə əsasən sınaqdan keçirilən hər bir parol menecerində parol anbarının ələ keçirilməsinə nail olunduğu, o cümlədən Bitwarden və LastPass üzrə saxlancın ələ keçirilməsinin tam mümkünlüyü, Dashlane üzrə isə yalnız paylaşılmış saxlancın ələ keçirilmə mümkünlüyü göstərilmişdir. Eyni zamanda bir sıra hallarda hücumçunun təkcə giriş məlumatlarını (credentials) görmək deyil, həmçinin onları dəyişdirmək imkanına da malik ola biləcəyi nümayiş etdirilmişdir.

Vendorlar tədqiqat nəticələri barədə məlumatlandırıldıqdan sonra aşkar edilmiş zəifliklərin əhəmiyyətli hissəsi üzrə yeniləmələr (yamalar) və risklərin azaldılmasına yönəlmiş tədbirlər tətbiq etmiş, lakin bəzi problemlərin aradan qaldırılmasının server tərəfinin tam komprometasiyası kimi yüksək şərtlər və kriptoqrafik hücumların mürəkkəbliyi səbəbilə texniki baxımdan çətin olduğunu vurğulamışdır.