В LastPass обнаружили опасную уязвимость

LastPassШону Кэссиди, ИБ-исследователю, удалось создать способ для атаки пользующегося достаточной популярностью сервиса управления паролями LatPasss, благодаря которому злоумышленники могут раскрыть мастер-пароль своей жертвы. Такого типа пароль нужен для того, чтобы получить доступ к логинам и паролям пользователя, которые сохранены в LastPass.

Как утверждает Шон, если в течение браузинга сессия LastPass теряет свой срок, то приходит необходимое уведомление об этом в контексте сайта, который открыт на данный момент. Страница с повторной аутентификацией высвечивается в контексте ресурса, который открыт, благодаря чему злоумышленник может без проблем во время фишинг-атаки направить свою жертву на какой-либо другой сайт, который поддается межсайтовому скриптингу, в это время похитив пароль человека.

После того, как была удачно эксплуатирована уязвимость, Кэссиди сделал публикацию на GitHub PoC-кода в форме утилиты LostPass. Именно с его помощью появляется возможность осуществить фишинг-атаку автоматизированного типа на различного рода пользователей LastPass, получив тем самым все необходимые мастер-пароли для взлома.

К тому же, злоумышленник может посмотреть логин и пароль, которые предоставила жертва при помощи LastPass API, запросив код аутентификации, состоящей из двух факторов. Если код будет получен успешным образом, хакеру удастся открыть любой пароль и любой логин своей жертвы.

На сегодняшний момент утилит осуществляют свою работу в браузере Chrome. Специалист также обрадовал тем, что в скором времени будет создана пробная версия для работы программы в браузере Firefox.

Исследователь сказал разработчикам программы LastPass об ошибке, которую он обнаружил. И даже несмотря на это, создатели программного обеспечения решили не выпускать ее, сказав пользователям о том, что ввод мастер-пароля с помощью веб-сайта может быть недоступен. Приходящие уведомления также высвечиваются в контексте веб-сайта, который открыт в данный момент. Ну, а хакеры без проблем могут заблокировать сообщения, приходящие людям.

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Войти с помощью:  
Имя
E-mail

 

Комментарии к записи В LastPass обнаружили опасную уязвимость