«Люди правда пользуются этой LastPass штукой? Я лишь бегло взглянул и сразу обнаружил несколько очевидно критических проблем», — написал в Twitter специалист Google Project Zero Тэвис Орманди (Tavis Ormandy). В частности, эксперт обнаружил в менеджере паролей 0-day уязвимость, которая позволяет удаленно скомпрометировать все пароли пользователя. Как выяснилось чуть позже, уязвимость была обнаружена в аддоне LastPass для Firefox.

Тэвис Орманди, как обычно, не скупился на эмоции, когда вчера, 27 июля 2016 года, писал в Twitter о найденных проблемах. Искренне удивившись тому, как люди вообще пользуются LastPass, эксперт направил разработчикам менеджера паролей сообщение с описанием проблемы. Орманди объяснил, что именно он обнаружил, лишь сегодня, 28 июля 2016 года, дождавшись, когда в LastPass исправят уязвимость.

Как оказалось, проблема затрагивала пользователей аддона для браузера Firefox. Злоумышленнику было достаточно заманить пользователя LastPass на вредоносный сайт, чтобы скомпрометировать менеджер паролей и заставить его выполнять в фоновом режиме различные действия, без ведома пользователя. Орманди уже обнародовал подробное описание проблемы на chromium.org. Кроме того, в будущем эксперт пообещал проверить работу 1Password.

Также разработчики менеджера паролей сообщили о закрытии еще одной уязвимости, найденной Матиасом Карлссоном (Mathias Karlsson) из компании Detectify. Исследователь обнаружил, что LastPass можно перехитрить и вытянуть из него учетные данные других сайтов. Для этого жертва должна перейти по ссылке вида attacker-site.com/@twitter.com/@script.php, и парсер LastPass будет убежден, что работает с twitter.com, а не attacker-site.com. Так как приложение поддерживает функцию автозаполнения полей с учетными данными, в любую форму на такой вредоносной странице будут вставлены настоящие логин и пароль пользователя. Если злоумышленник использует простой JavaScript, чтобы автоматически парсить и сохранять любые данные, введенные в авторизационную форму, его ждет хороший урожай чужих учетных данных.

Стоит сказать, что это далеко не первый случай, когда в LastPass находят серьезные проблемы. Так, осенью 2015 года, исследователи Альберто Гарсия Иллера (Alberto Garcia Illera) и Мартин Виго (Martin Vigo) из компании Salesforce рассказали на конференции Black Hat Europe о том, что LastPass содержит кучу уязвимостей.

Позже, в январе 2016 года, независимый исследователь Шон Кессиди (Sean Cassidy) и вовсе нашел способ скомпрометировать мастер-пароль приложения.

Также прошлым летом разработчики LastPass признали, что компания подверглась атаке хакеров и злоумышленники похитили данные пользователей, включая зашифрованные мастер-пароли. Хотя тогда разработчики уверяли, что их шифрование выстоит и волноваться не стоит, они все же попросили всех пользователей поменять пароли. Дело в том, что напряду с остальной информацией, атакующие получили доступ к соли и хешам мастер-паролей.

Фото: Shutterstock



5 комментариев

  1. tojvo

    28.07.2016 at 20:56

    Привет #яндексбраузер — там стоит lastpass по-умолчанию

  2. assp1r1n3

    29.07.2016 at 00:39

    Вывод: не заходите на левые сайты!

  3. GingerBeard

    01.08.2016 at 10:01

    Использовать менеджер паролей — также надёжно, как и хранить бумажку с пин-кодом от банковской карточки в кошельке вместе с этой самой банковской картой.

    • Rakot943

      02.08.2016 at 13:59

      И что вы предлагаете? Хранить пароли в блокноте? или Notepad? Использовать мастер пароль и для сервисов «откусывать от него» кусочки?

Оставить мнение