В LastPass обнаружена опасная уязвимость
18 Январь 2016
Самые последние сообщения об уязвимостях в LastPass появились еще в прошлом году. Так летом появилась информация о хакерской атаке на менеджер паролей, а уже в ноябре программисты сообщили о серьезных уязвимостях в сервисе. Конечно, их уже устранили. Но следом за ними появилась еще одна проблема. О ней рассказал Шон Кессиди, который занимается независимыми исследования в области интернет-безопасности. Он наткнулся на дыру в программе, которая делает программу уязвимой перед фишинговыми атаками. Более того, из-за действий злоумышленников мастер-пароль может попасть в чужие руки, а это значит, что пользователь лишится всех своих сохраненных паролей. Это чревато очень серьезными последствиями, вплоть до потери личных данных и доступа третьих лиц к банковским счетам.
Кессиди уже придумал название обнаруженной им уязвимости. Он назвал ее «LostPass». Эксперт сам попробовал воспользоваться этой дырой в системе. О своих успехах он рассказал в собственном блоге.
Чтобы активировать уязвимость, Кессиди понадобилось создать отдельный инструмент, который помог совершить самую простую фишинговую атаку на пользователя. В результате этого он перехватил мастер-пароль и получил доступ ко все паролям, хранящимся в LastPass. С их использованием он сможет заходить в личные аккаунты пользователя, пересматривать его документы и личную переписку, которая, как казалось ранее, надежно защищена паролями.
Кессиди в своем блоге подробно описал, как действует данная уязвимость. Чтобы получить доступ к мастер-паролю, злоумышленнику необходимо заманить пользователя на свой сайт. Для этого отправляются ссылки по электронной почте, в мессенджерах и пр. Как только человек перейдет на мошеннический ресурс, ему демонстрируется уведомление странного содержания о том, что его сессия в LastPass истекла. Чтобы это исправить, ему предлагается в новом окне ввести свой мастер-пароль и снова войти в свой аккаунт. Для этого необходимо нажать на кнопку «Try Again» и ввести необходимые данные. Как только пользователь нажмет на эту кнопку, его перебросит на новую страницу, которая практически ничем не отличается от стандартной формы ввода логина и пароля приложения. Даже адрес у страницы не вызывает сомнений в том, что она настоящая. Но опытные пользователи уж точно увидят в этом подвох.
При вводе своих данных на фишинговом сайте, логин и пароль сразу же попадает в руки злоумышленников. От этого не защитит даже двухфакторная аутентификация.
Примечательно, что эта уязвимость может эксплуатироваться только в тех случаях, когда пользователь использует для работы браузер Chrome. Остальные веб-обозреватели немного по-другому работают с уведомлениям от LastPass.
Кессиди, естественно, связался с разработчиками сервиса и сообщил им о проблема, но она до сих пор так и не была устранена. Именно поэтому эксперт советует пользователям на время отключить браузерное расширение и пользоваться только приложением.
Скопируйте этот код и вставьте его в свой сайт или блог (HTML)
Скопируйте этот код и вставьте его на форум (BBcode)
Кликните, если это возможно
БобрДобр.ру
МоёМесто.ру
Memori.ru
LinkStore.ruМатериалы по теме В LastPass обнаружена опасная уязвимость
В браузере Edge появилась встроенная игра / Новости - Internet Explorer
В Firefox появилась поддержка DNS через HTTPS / Новости - Mozilla Firefox
Edge на iOS защитит пользователей от слежки / Новости - Internet Explorer
Let's Encrypt меняет процесс выдачи сертификатов / Новости - Google Chrome
Microsoft исправила уязвимости в Internet Explorer 9 / Новости - Internet Explorer
В Firefox появилась поддержка DNS через HTTPS / Новости - Mozilla Firefox
Edge на iOS защитит пользователей от слежки / Новости - Internet Explorer
Let's Encrypt меняет процесс выдачи сертификатов / Новости - Google Chrome
Microsoft исправила уязвимости в Internet Explorer 9 / Новости - Internet Explorer
- Войдите на сайт для отправки комментариев
Комментариев нет.