LastPass, das von Millionen verwendet wird, kann anfällig für schockierend einfache Exploits sein - Rechnen - 2019

Anonim

LastPass war anfällig, behauptete ein White-Hat-Hacker am Google-Projekt Zero am Dienstag. Ein Patch für das Problem wurde am Donnerstag veröffentlicht, berichtet Engadget.

Tavis Ormandy, ein Forscher, der mit Googles Sicherheitsforschungs-Team Project Zero in Verbindung steht, fragte sarkastisch, ob LastPass tatsächlich gestern auf Twitter verwendet wird. Er fügte hinzu, dass er eine Reihe grundlegender Sicherheitsprobleme mit nur einem kurzen Blick entdeckt habe, berichtet Betanews. LastPass ist der beliebteste Passwortspeicherdienst der Welt mit Millionen von Benutzern.

Benutzen die Leute wirklich diese Lastpass-Sache? Ich warf einen kurzen Blick darauf und konnte eine Reihe offensichtlicher kritischer Probleme erkennen. Ich werde so bald wie möglich einen Bericht senden.

- Tavis Ormandy (@taviso) 26. Juli 2016

Ormandy hat LastPass einen Bericht über die Sicherheitsprobleme geschickt, der die Probleme behoben hat. Das Problem, so LastPass, ist, dass eine bösartige Website auf die Firefox-Erweiterung zugreifen kann, ohne dass der Benutzer davon erfährt, und zum Beispiel das Löschen von Kennwörtern aus dem Dienst. Das Problem ist jetzt vollständig gelöst.

Hier sind die Details der Schwachstelle, die ich gemeldet habe: //t.co/2fWFyBFzUm //t.co/3HaEQRJEqa

- Tavis Ormandy (@taviso) 28. Juli 2016

Das Google Project Zero-Team untersucht routinemäßig Sicherheitslücken online, sowohl in Google-Diensten als auch in denen, die von anderen Unternehmen erstellt wurden. Fehler werden an die entsprechenden Unternehmen gemeldet, die 60 Tage Zeit haben, das Problem zu lösen. An diesem Punkt macht Project Zero die Fehler öffentlich. Die Idee ist, Unternehmen zu ermutigen, die Probleme zu beheben, und in diesem Fall scheint das zu funktionieren: LastPass sagte Ormandy, dass eine Lösung auf dem Weg ist.

Wir werden also nicht wissen, welche Probleme Ormandy für eine Weile hatte. Aber wenn Sie jetzt etwas Unheimliches lesen wollen, dann hat der Forscher Mathias Karlsson auch einen schrecklichen LastPass-Fehler gefunden, den bösartige Websites verwenden könnten, um alle Ihre Passwörter in großen Mengen zu erfassen, wenn Benutzer die automatische Login-Funktion aktiviert lassen.

"Zuerst hat der Code die URL analysiert, um herauszufinden, in welcher Domäne sich der Browser gerade befindet. Dann hat er alle Anmeldeformulare mit den gespeicherten Anmeldedaten gefüllt", schrieb Karlsson in einem Blogbeitrag, der das Problem skizzierte. "Der URL-Parsing-Code war jedoch fehlerhaft (Fehler bei der URL-Analyse? Schocker!)."

LastPass reagierte schnell auf das Problem und bezahlte Karlsson sogar eine Kopfgeldprämie in Höhe von 1 000 Dollar für das Finden und Melden des Problems.

Karlsson meint seinerseits, dass sich Passwort-Manager trotz solcher Fehler lohnen.

"Sie sind immer noch viel besser als die Alternative (Passwort-Wiederverwendung)", schrieb Karlsson.

Allerdings könnte das Deaktivieren von AutoFill eine gute Idee für LastPass und ähnliche Dienste sein.