Pratite nas preko RSS-aOtkriven propust u LastPass koji omogućava fišing napade i krađu lozinki korisnika
Vesti, 19.01.2016, 01:30 AM
Istraživač Šon Kasidi otkrio je metod za napad na servis za upravljanje lozinkama LastPass koji omogućava napadačima da na relativno lak način dođu do master lozinki korisnika servisa.
Kasidi je otkrio da kad god sesije LastPass servisa isteknu dok korisnik pretražuje web, LastPass to prikazuje koristeći obaveštenja ubačena u sadržaj stranice. Zatim se stranica za prijavljivanje i dvofaktorni kod za autentifikaviju, ako je omogućena, takođe prikazuju na isti način.
Sa aspekta bezbednosti, ovo je loše rešenje, jer izlaže korisnike web injection napadima, kakve viđamo u fišing napadima na korisnike sajtova banaka.
Kasidi je razvio alat, koji je objavio na GitHub, nazvan LostPass, koji može omogućiti automatizovani jednostavan fišing napad na korisnike LastPass servisa i krađu njihovih master lozinki.
Sve što napadači treba da urade je da preusmere korisnike na legitiman web sajt koji je podložan XSS (cross-site scripting) napadima.
Na takvim legitimnim, ali ranjivim web sajtovima, alat LostPass bi koristio XSS propust da otkrije da li korisnik ima LastPass instaliran na računaru, da ga odjavi i da onda ubaci obaveštenje tražeći od korisnika da se ponovo prijavi na nalog.
Kada korisnik klikne na ovo obaveštenje, pojaviće se LastPass stranica za prijavljivanje, a kada korisnik unese svoje podatke, oni će se naći u rukama napadača.
Napadači čak mogu da provere da li su ove lozinke ispravne, i da zatraže od korisnika kod za dvofaktornu autentifikaciju ako je ona uključena.
Kasidi kaže da njegov alat LostPass radi samo sa Chromeom, jer Firefox i drugi browseri prikazuju LastPass stranicu za prijavljivanje u iskačućim prozorima browsera.
LostPass je testiran sa najnovijim verzijama LastPassa (4.x).
Kasidi je o ovome obavestio LastPass još prošlog novembra, ali je kompanija odgovorila da je to fišing napad, a ne propust u LastPass. LastPass je pokušao da reši problem upozoravajući korisnike kada kucaju master lozinku na web sajtu. Međutim, Kasidi kaže da je ovo besmisleno jer napadači mogu da presretnu upozorenje i onemoguće ga.
Da bi izbegli ovakve probleme, Kasidi preporučuje korisnicima da nikada ne unose LastPass kredencijale u browser, i da za ponovno prijavljivanje koriste glavnu aplikaciju.
Kasidi kaže i da je bolje uključiti IP restrikciju za verziju LastPassa koja se plaća nego koristiti dvofaktornu autentifikaciju. Pored toga, korisnici mogu da isključe prijavljivanje sa mobilnih uređaja.
Izdvojeno
Odeljenje 4: ruski tajni fakultet za hakere
Novo međunarodno novinarsko istraživanje otkrilo je detalje o tajnom programu na Moskovskom državnom tehničkom univerzitetu Bauman, za koji se tvr... Dalje
Prevaranti koriste veštačku inteligenciju za masovne investicione prevare
Istraživači kompanije Malwarebytes su otkrili veliku kampanju investicionih prevara zasnovanih na veštačkoj inteligenciji, koja koristi više od 1... Dalje
Lažni Claude AI sajtovi preko Google oglasa šire malver
Istraživači iz kompanije Trend Micro otkrili su novu kampanju pod nazivom “InstallFix”, u kojoj napadači koriste lažne sajtove za inst... Dalje
Telegram Mini Apps se koriste za kripto prevare i širenje Android malvera
Istraživači iz CTM360 otkrili su veliku prevarantsku mrežu pod nazivom FEMITBOT, koja koristi Telegram Mini Apps za širenje lažnih investicionih ... Dalje
Microsoft Edge čuva sve lozinke u memoriji: stručnjaci upozoravaju na rizik
Microsoft Edge učitava svaku sačuvanu lozinku u memoriju procesa u trenutku pokretanja pregledača i čuva je tamo kao čisti tekst, čak i ako kori... Dalje
Pratite nas
Nagrade
Prijatelji
