I Meitheamh 2026, d'athsheol trí imeacht an díospóireacht faoi fhíor-ráthaíochtaí na mbainisteoirí « zero-knowledge »: mapálann staidéar acadúil ó ETH Zurich agus Aalto University 25 ionsaí inúsáidte má dhéantar an freastalaí a chomhréiteach, gabhann sceitheadh ag LastPass trí CRM tríú páirtí, agus léiríonn taighdeoir ó DEF CON 33 fuadach autofill trí clickjacking. Seo tionchar nithiúil na dtrí imeacht sin ar ailtireacht ARDNTECH, gan reitric mhargaíochta.
Foilsithe an 23 Meitheamh 2026 ag ARDNTECH EI · Anailís inmheánach ó na nochtuithe poiblí
Cheadaigh goid comharthaí OAuth ag Klue (uirlis faisnéise tráchtála comhtháite le Salesforce) rochtain ar shonraí teagmhála chustaiméirí LastPass. Níor nochtadh na cruinneoga criptithe. Is é an fíor-riosca an fioscaireacht spriocdhírithe ó liosta teagmhálacha a goideadh ó fho-chonraitheoir forimeallach, ní comhréiteach an chroí cripteagrafaigh.
Ceacht : cosnaíonn an zero-knowledge na cruinneoga, ní na meiteashonraí atá i seilbh tríú páirtithe.
Mapálann Matteo Scarlata agus a chomhúdair (arna scaipeadh ag Ars Technica) 25 ionsaí a thaispeánann go ndéanann ráthaíochtaí « zero-knowledge » Bitwarden, Dashlane agus LastPass meath má dhéantar an freastalaí a chomhréiteach agus má tá feidhmeanna opt-in áirithe gníomhach: aisghabháil cuntais, comhroinnt trí dháileadh eochracha poiblí, comhoiriúnacht chúlghníomhach chripteagrafach (downgrade KDF).
Ceacht : ní mór do ZK atá ceart go foirmiúil seasamh in aghaidh cás freastalaí comhréitithe, ní amháin riarthóir ionraic.
Léiríonn Marek Tóth gur féidir autofill 11 bainisteoir a spreagadh trí fhorleagan dofheicthe. Is leor cliceáil amháin ar bhratach bhréige fianán chun réimsí leathanaigh atá á rialú ag an ionsaitheoir a líonadh. Is é an dromchla a bhaineann leis loighic instealladh DOM na heisínteachta, ní an chruinneog fhreastalaí.
Ceacht : is dromchla ionsaithe ar leithligh ón bhfreastalaí í eisínteacht an bhrabhsálaí, le cruachan go neamhspleách.
Díríonn an staidéar ar thrí theaghlach feidhmeanna a lagaíonn, ar fhreastalaí comhréitithe, na ráthaíochtaí ZK. Seo a gcomhfhreagras in ailtireacht ARDNTECH.
| Veicteoir an staidéir | Ailtireacht ARDNTECH | Breithiúnas |
|---|---|---|
|
Aisghabháil cuntais
Cóip d'eochair na cruinneoige stóráilte ar thaobh an fhreastalaí, inúsáidte má dhéantar an freastalaí a chomhréiteach |
Táirgtear an wrap ar thaobh an chliaint (Argon2id) ó chód aisghabhála nach bhfuil ag aon duine ach an t-úsáideoir. Stórálann an freastalaí wraps teimhneacha: ní féidir leis an eochair a ath-dhíorthú. Tomhaltas le scrub láithreach. | Folláin |
|
Downgrade cripteagrafach
Cliant a chur d'fhiacha algartam níos laige a úsáid le linn wrap na haisghabhála |
Bactha ar thaobh an fhreastalaí: parsálann comhpháirt iniúchta an armúr ré/fíor (SKESK v6, S2K Argon2id, AEAD i láthair, costais íosta). Diúltaítear do chliant trasnaithe a dhéanann downgrade agus cuirtear iallach air ath-ghníomhachtú. | Neodraithe |
|
Ionadú eochrach poiblí le linn comhroinnte
Freastalaíonn an freastalaí a eochair féin in ionad eochair an fhaighteora |
Nochtann an freastalaí an eochair phoiblí + méarlorg an fhaighteora. Clúdaíonn ceartúchán ó Mheitheamh 2026 (stór eisínteachtaí) an fíorú ar thaobh an chliaint. Pointe iarmharach: a chinntiú go spreagann athrú eochrach ó theagmhálaí aitheanta foláireamh follasach. | Á fhíorú |
|
Eochracha aisghabhála riarthóra (cineál LastPass)
Is féidir le riarthóir grúpa cruinneog úsáideora a ath-chriptiú ar thaobh an fhreastalaí |
Níl meicníocht « break-glass admin » ar thaobh an fhreastalaí ag ARDNTECH a dhéanfadh eochair chruinneoige úsáideora a ath-chriptiú chuig eochair riarthóra. Téann comhroinnt na foirne tríd eochair phoiblí na foirne agus a méarlorg amháin. | Folláin trí dhearadh |
Sintéis : ní cheadaíonn freastalaí ARDNTECH comhréitithe na wraps aisghabhála a dhíchriptiú - tá siad teimhneach, díorthaithe ar thaobh an chliaint ó rún nach bhfuil ag an bhfreastalaí, agus diúltaítear don downgrade KDF ag an gclárú. Is iad sin go díreach na cásanna a shaothraítear i mbainisteoirí eile ag an staidéar ETH/Aalto. Tá siad dúnta anseo ag roghanna ailtireachta doiciméadaithe sa tsamhail bhagairtí.
Díríonn taighde Tóth ar loighic instealladh DOM na n-eisínteachtaí. Is iad an autofill agus an autologin na dromchlaí lena mbaineann. Níl an chruinneog fhreastalaí i gceist - is í an eisínteacht a líonann na réimsí is féidir a chur ar míthreoir. Tá na pointí seo a leanas á n-iniúchadh in eisínteacht ARDNTECH.
visibility:hidden, méid gar do náid nó eilimint clúdaithe (hit-testing phointe an chliceála).window.top === window.self nó an bhunús céanna.z-index rialaithe, athfhíorú infheictheachta ag tráth an chliceála.Is féidir croí cripteagrafach folláin a sheachaint tríd an stack SaaS forimeallach. Níor bhog cruinneoga LastPass, ach goideadh liosta teagmhálacha ó chomhtháthóir CRM tríú páirtí.
Tá fo-chonraitheoirí reatha ARDNTECH (Scaleway, Brevo, Stancer, HIBP, Bugsink) cuimsithe sa chlár atá foilsithe ar an leathanach Iontaoibh. Cosnaíonn an zero-knowledge na cruinneoga, ní liosta teagmhálacha i CRM tríú páirtí neamhliostaithe.
Rothlú comharthaí na gcomhtháthuithe tríú páirtí, scóip íosta, cúlghairm láithreach i gcás teagmhais. Níor cheart go gceadódh rochtain ar chórais fhorimeallacha mapáil de na custaiméirí a atógáil.
Zero-knowledge infhíoraithe, óstáilte sa Fhrainc, cód foinseach AGPLv3. Tá an bheta phríobháideach inrochtana ach clárú.