Группа исследователей из Калифорнийского университета в Беркли проанализировала безопасность пяти популярных парольных веб-менеджеров разработки компаний LastPass, RoboForm, My1Login, PasswordBox и NeedMyPassword. В них найдены уязвимости, которые позволяют постороннему злоумышленнику получить доступ к учётным данным пользователя.
«Мы нашли уязвимости в разнообразных функциях, таких как одноразовые пароли, букмарклеты и совместные пароли, сказано в опубликованной научной работе. — Коренные причины возникновения багов тоже разнятся: от логики и ошибок авторизации до неправильного понимания модели безопасности в вебе, вдобавок к типичным уязвимостям вроде CSRF и XSS».
Исследователи подчёркивают, что распространение «дырявых» парольных менеджеров только ухудшает ситуацию с безопасностью информации в интернете, поскольку они представляют собой критические узлы — уязвимость в одном месте дискредитирует информационную защиту сразу на всех сайтах, где зарегистрирован пользователь.
Информация об уязвимостях передана разработчикам программного обеспечения. В научной работе не опубликованы технические подробности, и эксплойты не выложены в открытый доступ. Разработчики четырёх из пяти упомянутых парольных менеджеров (кроме NeedMyPassword) быстро отреагировали на информацию и исправили ошибки.
«Поскольку мы проводили анализ вручную, то есть вероятность, что в программах остались другие уязвимости», — предупреждают исследователи. Они сообщили, что работают над инструментом для автоматизации поиска уязвимостей, а также сами собираются выпустить абсолютно надёжный и защищённый парольный менеджер, безопасный по своему дизайну.
В то же время разработчики LastPass предупреждают пользователей, которые «использовали букмарклет и программу One Time Passwords до сентября 2013 года на небезопасных сайтах, о необходимости поменять мастер-пароль.
