Uma pesquisa acadêmica das Universidades de Zurique e da Svizzera Italiana revelou vulnerabilidades críticas nos populares gerenciadores de senha Bitwarden, LastPass e Dashlane. O estudo, liderado pelo professor Kenneth Paterson, demonstrou 27 ataques bem-sucedidos que comprometem a promessa de segurança "Zero-Knowledge" (conhecimento zero), permitindo que invasores acessem senhas armazenadas.
Descoberta e escopo das falhas
Os pesquisadores identificaram que os aplicativos falham em verificar a integridade dos dados recebidos de seus servidores centrais. Essa "falta de integridade no texto cifrado" e problemas de "ligação criptográfica" permitem que um servidor comprometido manipule os dados encriptados do usuário sem ser detectado. O estudo respeitou um período de 90 dias de divulgação responsável, e Dashlane e Bitwarden já lançaram correções. O LastPass ainda não havia se manifestado publicamente sobre todas as correções no momento da publicação.
Vetor e exploração prática
Um dos ataques mais impactantes explora a forma como os logins são armazenados em partes separadas (nome de usuário, senha e URL). Um hacker com controle do servidor pode trocar esses campos, movendo a senha encriptada para o local da URL. Quando o usuário tenta usar o preenchimento automático, o aplicativo, enganado, desencripta a senha e a envia para o domínio malicioso controlado pelo atacante.
Outros vetores exploraram funcionalidades como recuperação de conta e compartilhamento entre organizações. Em um cenário, o atacante força o usuário a ingressar em uma organização falsa. Como o aplicativo não autentica adequadamente as chaves públicas, ele pode criptografar a chave mestra do usuário com a chave do invasor, entregando os dados de recuperação.
Impacto e recomendações de segurança
Os serviços Bitwarden, LastPass e Dashlane foram confirmados com vulnerabilidades. Em contraste, o 1Password, que utiliza uma "Chave Secreta" armazenada localmente no dispositivo do usuário, resistiu à maioria dos ataques, pois a chave necessária para descriptografar os dados nunca é enviada ao servidor.
Os pesquisadores recomendam que os usuários de serviços vulneráveis atualizem seus aplicativos imediatamente para as versões mais recentes. Para proteção de longo prazo, sugerem a adoção de gerenciadores que utilizem uma chave secreta local ou a adição de uma camada de segurança física, como uma chave de hardware (ex.: YubiKey), para autenticação.
Implicações para a confiança do usuário
Esta pesquisa questiona diretamente a principal proposição de valor dos gerenciadores de senha baseados em nuvem: a garantia de que nem mesmo o provedor do serviço pode acessar os dados. A descoberta de que servidores comprometidos podem "convencer" o aplicativo cliente a trair o usuário representa uma falha fundamental no modelo de segurança, exigindo uma reavaliação dos protocolos criptográficos e de verificação de integridade por toda a indústria.