Специалисты Швейцарской высшей технической школы Цюриха обнаружили серьезные бреши в сервисах управления паролями Bitwarden, LastPass и Dashlane, чья совокупная доля рынка составляет около 25%.

Выяснив с помощью клиентских приложений запросы API, которые те используют для связи с сервисами, исследователи написали программы, имитирующие работу взломанных серверов перечисленных систем, и продемонстрировали возможность совершения большого количества различных атак, в том числе позволяющих раскрывать и менять пароли пользователей.

Пароли на перечисленных сервисах хранятся в зашифрованном виде, а расшифровка выполняется только на пользовательском устройстве, за счет чего операторы гарантировали безопасность клиентам — даже взломав сервер, хакер не может получить пароль в чистом виде. Однако исследование показало, что это не так.

Проблемы касались в основном клиентских приложений, которые удалось «обмануть», заставив соединиться с фальшивыми серверами. Кроме того, программа-имитатор, в частности, могла «убедить» клиент понизить уровень надежности мастер-ключа к сейфу паролей, зашифровав его по технологии времен 1990-х, и тем самым сделать уязвимым к перебору.

Помимо этого причиной наличия брешей исследователи назвали чрезмерно громоздкую кодовую базу сервисов и одновременно стремление максимально упростить работу с ними для пользователей.