تم الكشف عن نقاط ضعف خطيرة في برامج إدارة كلمات المرور الشهيرة

  • Sep 04, 2023

يمكن أن تؤدي كلمات المرور المخزنة في ذاكرة الوصول العشوائي (RAM) إلى السرقة، ولكن يجب النظر في التقرير في سياق قائم على المخاطر.

كشفت دراسة جديدة تبحث في الوضع الأمني ​​الحقيقي لخدمات تخزين كلمات المرور عن مجموعة كبيرة من الثغرات الأمنية التي يمكن أن يؤدي ذلك إلى سرقة بيانات اعتماد المستخدم القيمة - ولكن هذا لا يعني أنه يجب عليك التخلي عن مدير كلمات المرور المفضل لديك في أي وقت قريباً.

مقيمو الأمن المستقلون (ISE) نشرت تقييما يوم الثلاثاء والتي وثقت نتائج الاختبارات التي شملت 1Password، وDashlane، وKeePass، وLastPass، وجميعها من أدوات إدارة كلمات المرور الشائعة المتوفرة اليوم.

حماية

  • 8 عادات للعاملين عن بعد الآمنين للغاية
  • كيفية العثور على برامج التجسس وإزالتها من هاتفك
  • أفضل خدمات VPN: كيف يمكن مقارنة أفضل 5 خدمات؟
  • كيفية معرفة ما إذا كنت متورطًا في عملية اختراق للبيانات - وماذا تفعل بعد ذلك

تم اختبار 1Password4 لنظام التشغيل Windows الإصدار 4.6.2.626، و1Password7 لنظام التشغيل Windows 7.2.576، وDashlane لنظام التشغيل Windows v.6.1843.0، وKeePass Password Safe v.2.40، وLastPass للتطبيقات الإصدار 4.1.59.

  • أفضل مديري كلمات المرور لعام 2019 سي نت

قال الفريق إن كل حل لإدارة كلمات المرور "فشل في توفير الأمان لحماية بيانات المستخدم تم العثور على "كلمات المرور كما تم الإعلان عنها" و"عيوب أساسية" أدت إلى "كشف البيانات التي تم تصميمها من أجلها يحمي."

وتم العثور على الثغرات الأمنية في البرامج التي تعمل على أنظمة Windows 10. في أحد الأمثلة، تم تخزين كلمة المرور الرئيسية التي يحتاج المستخدمون إلى استخدامها للوصول إلى ذاكرة التخزين المؤقت لبيانات الاعتماد الخاصة بهم في ذاكرة الوصول العشوائي للكمبيوتر الشخصي بتنسيق نص عادي وقابل للقراءة.

يقول ISE: "يتم دفع المستخدمين إلى الاعتقاد بأن المعلومات آمنة عندما يكون مدير كلمات المرور مقفلاً". "على الرغم من ذلك، بمجرد توفر كلمة المرور الرئيسية للمهاجم، يمكنه فك تشفير قاعدة بيانات مدير كلمات المرور - الأسرار المخزنة وأسماء المستخدمين وكلمات المرور."

تمكنت ISE من استخراج كلمات المرور هذه وبيانات اعتماد تسجيل الدخول الأخرى من الذاكرة أثناء قفل مدير كلمات المرور المعني. قد يكون من الممكن أن تفعل البرامج الضارة التي تم تنزيلها على نفس الجهاز بواسطة جهات التهديد نفس الشيء.

فيما يلي النتائج الرئيسية المستندة إلى كل حل لإدارة كلمة المرور:

1كلمة المرور4: تقول ISE أن وسائل الحماية "المعقولة" مطبقة في الحالات غير المؤمّنة، ولكن عندما يكون هناك انتقال من الحالة غير المؤمّنة إلى الحالة المقفلة، فإن كلمة المرور الرئيسية يقال إنه يظل في الذاكرة عند إلغاء القفل - على الرغم من بعض التشويش - ويفشل البرنامج في مسح كلمة المرور الرئيسية هذه بشكل كافٍ قبل النقل انتهى.

ومع ذلك، عندما يصل المستخدم إلى إدخالات مختلفة في البرنامج، يتم مسح كلمات المرور غير المشفرة من الذاكرة قبل تحميل أخرى.

يقول ISE: "لقد وجدنا أيضًا خطأً حيث، في ظل إجراءات معينة للمستخدم، يمكن ترك كلمة المرور الرئيسية في الذاكرة بنص واضح حتى أثناء قفلها".

1كلمة المرور7: الإصدار الحالي من البرنامج، في رأي الباحث الأمني، "أقل أمانًا" من الإصدار القديم. بدلاً من الاحتفاظ بإدخال واحد فقط في الذاكرة في كل مرة، قام هذا الإصدار من 1Password بفك تشفير جميع كلمات المرور الفردية في قاعدة البيانات عند الاختبار، وكذلك لم تقم بمسح كلمات المرور الفردية أو كلمة المرور الرئيسية أو المفتاح السري المستخدم لاشتقاق مفتاح التشفير عند الانتقال من الحالة غير المؤمنة إلى مقفل.

"هذا يجعل زر "القفل" غير فعال؛ من الناحية الأمنية، بعد فتح واستخدام 1Password7، يجب على المستخدم الخروج من البرنامج بالكامل من أجل مسح المعلومات الحساسة من الذاكرة كما ينبغي للقفل". وأضاف.

قال جيفري غولدبرغ، "المدافع الرئيسي ضد الفنون المظلمة" في 1Password:

"هذه قضية معروفة وتمت مناقشتها علنًا عدة مرات من قبل، ولكن أي علاج معقول قد يكون أسوأ من المرض. يؤدي إصلاح هذه المشكلة تحديدًا إلى ظهور مخاطر أمنية جديدة وأكبر، ولذلك اخترنا الالتزام بها الأمان الذي توفره إدارة الذاكرة عالية المستوى، حتى لو كان ذلك يعني أننا لا نستطيع مسح الذاكرة فورا.

على المدى الطويل، قد لا نحتاج إلى إجراء مثل هذه المقايضة. ولكن نظرًا للأدوات والتقنيات المتاحة لنا، كان علينا اتخاذ قرار بشأن أفضل السبل للحفاظ على أمان مستخدمينا. أنا أقف إلى جانب قرارنا.

التهديد الواقعي من هذه القضية محدود. المهاجم الذي هو في وضع يسمح له باستغلال هذه المعلومات في الذاكرة هو بالفعل في وضع قوي للغاية. لا يمكن لأي مدير كلمات مرور (أو أي شيء آخر) أن يعد بالعمل بشكل آمن على جهاز كمبيوتر مخترق."

داشلان: في حالة Dashlane، يقول الباحثون إنه تم تنفيذ الذاكرة/السلسلة وإدارة واجهة المستخدم الرسومية وسير العمل لتقليل مخاطر استخراج بيانات الاعتماد. تم الكشف عن إدخال نشط واحد فقط في ذاكرة الوصول العشوائي (RAM)، لكن ISE أضاف أنه عند تحديث الإدخالات، يتم كشف Dashlane "النص العادي لقاعدة البيانات بأكملها في الذاكرة ويظل هناك حتى بعد تسجيل الخروج من Dashlane أو مقفل."

وقال متحدث باسم Dashlane لـ ZDNet:

"من الصحيح بالفعل أنه إذا كان لدى المهاجم سيطرة كاملة على جهاز عند أدنى مستوى لأنظمة التشغيل، فيمكنه قراءة أي وجميع المعلومات الموجودة على الجهاز. لا ينطبق هذا على Dashlane فقط أو على برامج إدارة كلمات المرور، بل ينطبق أيضًا على أي برنامج أو في الواقع أي جهاز يقوم بتخزين المعلومات الرقمية.

لهذا السبب، من المعروف عمومًا في عالم الأمن السيبراني أن السيناريو المذكور أعلاه هو سيناريو متطرف بمعنى أنه لا توجد آلية يمكنها حماية المعلومات الرقمية الموجودة على الجهاز إذا كان هذا الجهاز بالكامل بالفعل مساومة."

أنظر أيضا: الوجبات السريعة الرئيسية من تقرير المملكة المتحدة اللعين حول عالم "العصابات الرقمية" على فيسبوك

كي باس: يقوم KeePass بمسح كلمة المرور الرئيسية من الذاكرة ولا يمكن استعادتها. ومع ذلك، سمحت الأخطاء في سير العمل للباحثين باستخراج إدخالات الاعتماد التي تم التفاعل معها. في حالة واجهات برمجة تطبيقات Windows، في بعض الأحيان، قد لا يتم فحص مخازن الذاكرة المؤقتة المختلفة التي تحتوي على إدخالات تم فك تشفيرها بشكل صحيح.

صرح KeePass لـ ZDNet أن ما وجده الباحثون "هو قيد معروف وموثق لحماية ذاكرة العملية".

الشركة المبادئ التوجيهية الأمنية يقول:

"بالنسبة لبعض العمليات، يجب على KeePass إتاحة البيانات الحساسة بشكل غير مشفر في ذاكرة العملية. على سبيل المثال، من أجل إظهار كلمة المرور في عنصر تحكم عرض القائمة القياسي الذي يوفره Windows، استخدم KeePass يجب توفير محتوى الخلية (كلمة المرور) كسلسلة غير مشفرة (ما لم يكن الإخفاء باستخدام العلامات النجمية ممكّن).

تتضمن العمليات التي تؤدي إلى بيانات غير مشفرة في ذاكرة العملية، على سبيل المثال لا الحصر، ما يلي: عرض البيانات (وليس العلامات النجمية) بشكل قياسي عناصر التحكم، والبحث عن البيانات، واستبدال العناصر النائبة (أثناء الكتابة التلقائية، والسحب والإفلات، والنسخ إلى الحافظة، ...)، والاستيراد/التصدير (باستثناء كي دي بي إكس).

قد يقوم Windows و.NET بعمل نسخ من البيانات (في ذاكرة العملية) لا يمكن مسحها بواسطة KeePass."

لاست باس: يقوم LastPass بتشويش كلمة المرور الرئيسية أثناء قيام المستخدمين بكتابة الإدخال، وعندما يكتبون كلمة المرور يدخل المدير إلى حالة إلغاء القفل، ولا يتم فك تشفير إدخالات قاعدة البيانات في الذاكرة إلا عندما يكون هناك مستخدم تفاعل. ومع ذلك، ذكرت ISE أن هذه الإدخالات تظل موجودة في الذاكرة بعد دخول البرنامج في حالة القفل. كما تمكن الباحثون من استخراج كلمة المرور الرئيسية وإدخالات كلمة المرور المتفاعلة معها بسبب تسرب الذاكرة.

قال مدير التكنولوجيا في LastPass، ساندور بالفي:

"هذه الثغرة الأمنية المحددة، في LastPass للتطبيقات، تراثنا، تطبيق Windows المحلي (الذي يمثل لأقل من .2 بالمائة من إجمالي استخدامات LastPass) تم لفت انتباهنا إليها من قبل الباحثين من خلال Bug Bounty الخاص بنا برنامج.

من أجل قراءة ذاكرة التطبيق، سيحتاج المهاجم إلى الحصول على حق الوصول المحلي وامتيازات المسؤول للكمبيوتر المخترق. لقد قمنا بالفعل بتنفيذ تغييرات على LastPass للتطبيقات المصممة للتخفيف وتقليل مخاطر الهجوم المحتمل المفصلة في هذا التقرير.

للتخفيف من مخاطر التسوية عندما يكون LastPass للتطبيقات في حالة قفل، يستخدم LastPass لـ ستقوم التطبيقات الآن بإيقاف تشغيل التطبيق عندما يقوم المستخدم بتسجيل الخروج، مما يؤدي إلى مسح الذاكرة وعدم المغادرة أي شيء وراء."

تصحيح حل المشكلة لديه أيضا تم إطلاق سراحهم.

تكن ريبابليك: يقول التقرير إن عام 2018 كان ثاني أكثر الأعوام نشاطًا على الإطلاق فيما يتعلق بانتهاكات البيانات

"ليس المقصود من هذه الورقة انتقاد تطبيقات معينة لإدارة كلمات المرور؛ ومع ذلك، فإن الهدف من ذلك هو تحديد حد أدنى معقول من الحد الأدنى الذي يجب على جميع مديري كلمات المرور الالتزام به،" كما تقول ISE. "من الواضح أنه يتم إجراء محاولات لتنظيف الذاكرة وحساسيتها في جميع برامج إدارة كلمات المرور. ومع ذلك، يفشل كل مدير كلمات مرور في تنفيذ عملية تطهير الأسرار المناسبة لأسباب مختلفة."

على الرغم من هذه المشاكل، تجدر الإشارة إلى أنه في عالم يمكن فيه أتمتة هجمات القوة الغاشمة من الشائع أن يكون مدير كلمات المرور بديلاً أفضل من استخدام نفس كلمات المرور البسيطة وسهلة الاختراق اللجنة.

فيما يتعلق بعوامل الخطر، فأنت أكثر عرضة لخطر استخدام كلمات مرور بسيطة من البرامج الضارة اختراق جهاز كمبيوتر منزلي لغرض وحيد هو فحص ذاكرة الوصول العشوائي (RAM) بحثًا عن دليل على وجود مدير كلمات المرور يلعب.

سي نت: يواجه فيسبوك أسئلة من المشرعين حول خصوصية المجموعات الصحية

على الرغم من أنه يجب على مطوري برامج إدارة كلمات المرور أن يكونوا على دراية بهذه المخاطر الأمنية المحتملة، إلا أنه لم ينظر الجميع إلى التقرير بعين ودية. حسب إلى سايبرسكوب، تمت إزالة الباحث في ISE Adrian Bednarek من منصة Bugcrowd لصائد الأخطاء على أساس "الكشف غير المصرح به" بعد الكشف عن خطأ LastPass لأحد المراسلين قبل صدور التقرير نشرت.

هذه هي أسوأ عمليات الاختراق والهجمات الإلكترونية وخروقات البيانات لعام 2018

التغطية السابقة وذات الصلة

  • برنامج Google Earth يكشف عن طريق الخطأ مواقع عسكرية سرية
  • تعمل هذه البرامج الضارة على تحويل عملية اختطاف أجهزة الصراف الآلي إلى لعبة ماكينات القمار
  • تقوم الآلاف من تطبيقات Android بتسجيل نشاطك عبر الإنترنت بشكل دائم لاستهداف الإعلانات