Sicherheitslücken: Passworttresore über kompromittierte Server geknackt
Forscher der ETH Zürich haben die cloudbasierten Passwortmanager Bitwarden, Lastpass und Dashlane untersucht und dabei Sicherheitsmängel festgestellt. Konkret ging es bei der Untersuchung um die Frage, ob die gespeicherten Daten auch im Falle einer Kompromittierung des Anbieters sicher sind. Offenkundig war dies jedoch nicht der Fall, wie aus einer Mitteilung der Hochschule(öffnet im neuen Fenster) hervorgeht.
Anbieter von Passwortmanagern werben häufig mit einer sogenannten "Zero Knowledge Encryption" . Das bedeutet, dass die gespeicherten Anmeldedaten verschlüsselt sind und nicht einmal vom Anbieter gelesen werden können. Kompromittiert ein Angreifer die Cloudinfrastruktur, so kann er bei sauberer Umsetzung mit den verschlüsselten Daten ebenfalls nichts anfangen.
Offenkundig hielten Bitwarden, Lastpass und Dashlane diesem Versprechen jedoch bei den Untersuchungen der ETH Zürich nicht stand. Die Forscher setzten eigene Server auf und testeten verschiedene Angriffsszenarien. Dabei war es ihnen teilweise möglich, Passworttresore von Nutzern oder gar ganzen Organisationen zu kompromittieren.
Quellcodes werden immer komplexer
Details zu den ausgeführten Angriffen erläutern die Forscher in einem 28-seitigen Paper(öffnet im neuen Fenster) (PDF). Die Rede ist von zwölf Attacken auf Bitwarden, sieben auf Lastpass und sechs auf Dashlane. Teils waren die Forscher wohl in der Lage, Passwörter aus Nutzertresoren abzugreifen, teils soll sogar eine Manipulation gespeicherter Zugangsdaten möglich gewesen sein.
Dafür hätten die Forscher nicht mehr benötigt als "einfache Interaktionen, die Nutzerinnen und Nutzer oder ihre Browser routinemäßig beim Verwenden des Passwortmanagers durchführen, zum Beispiel beim Konto anmelden, den Tresor öffnen, Passwörter anzeigen oder Daten synchronisieren" , heißt es in der Mitteilung der ETH.
Die Forscher sollen bei ihren Untersuchungen teilweise auch auf bizarre Code-Architekturen gestoßen sein. Einer der Forscher erklärte, die Quellcodes würden aufgrund der reichhaltigen Features zu Verbesserung der Benutzerfreundlichkeit immer komplexer und unübersichtlicher. Dadurch gebe es immer mehr Angriffspunkte für Hacker. "Für solche Attacken braucht es keine besonders leistungsstarken Computer und Server, nur kleine Programme, mit welchen man dem Server eine falsche Identität vortäuschen kann" , so der Forscher.
Anbieter patchen teils zögerlich
Die Forscher meldeten ihre Entdeckungen an Bitwarden, Lastpass und Dashlane und räumten den Anbietern den Angaben zufolge 90 Tage Zeit ein, um die Sicherheitslücken zu patchen. Die Zusammenarbeit sei "vorwiegend kooperativ" gewesen, heißt es. Im Hinblick auf Systemupdates seien die Entwickler aber aus Sorge vor möglichen Datenverlusten oftmals "sehr zurückhaltend" .
Zu den Kunden gehörten "neben Millionen Privatpersonen auch Tausende Unternehmen, die den Anbietern ihr gesamtes Passwortmanagement anvertrauen. Man kann sich ausmalen, was passieren würde, wenn sie plötzlich keinen Zugang mehr zu ihren Daten hätten" , heißt es in der Meldung der ETH.
Bitwarden(öffnet im neuen Fenster) und Dashlane(öffnet im neuen Fenster) haben auf ihren Webseiten jeweils ein Statement zu den Entdeckungen der Forscher veröffentlicht und versichern darin, die gemeldeten Sicherheitslücken geschlossen zu haben. Auch Lastpass hat laut eigener Meldung(öffnet im neuen Fenster) bereits zusätzliche Sicherheitsmaßnahmen implementiert. Weitere sollen mit zukünftigen Updates folgen. Hinweise darauf, dass die Sicherheitslücken bereits von böswilligen Akteuren ausgenutzt wurden, gibt es bisher nicht.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.