Otkriven propust u LastPass koji omogućava fišing napade i krađu lozinki korisnika
Vesti, 19.01.2016, 01:30 AM
Istraživač Šon Kasidi otkrio je metod za napad na servis za upravljanje lozinkama LastPass koji omogućava napadačima da na relativno lak način dođu do master lozinki korisnika servisa.
Kasidi je otkrio da kad god sesije LastPass servisa isteknu dok korisnik pretražuje web, LastPass to prikazuje koristeći obaveštenja ubačena u sadržaj stranice. Zatim se stranica za prijavljivanje i dvofaktorni kod za autentifikaviju, ako je omogućena, takođe prikazuju na isti način.
Sa aspekta bezbednosti, ovo je loše rešenje, jer izlaže korisnike web injection napadima, kakve viđamo u fišing napadima na korisnike sajtova banaka.
Kasidi je razvio alat, koji je objavio na GitHub, nazvan LostPass, koji može omogućiti automatizovani jednostavan fišing napad na korisnike LastPass servisa i krađu njihovih master lozinki.
Sve što napadači treba da urade je da preusmere korisnike na legitiman web sajt koji je podložan XSS (cross-site scripting) napadima.
Na takvim legitimnim, ali ranjivim web sajtovima, alat LostPass bi koristio XSS propust da otkrije da li korisnik ima LastPass instaliran na računaru, da ga odjavi i da onda ubaci obaveštenje tražeći od korisnika da se ponovo prijavi na nalog.
Kada korisnik klikne na ovo obaveštenje, pojaviće se LastPass stranica za prijavljivanje, a kada korisnik unese svoje podatke, oni će se naći u rukama napadača.
Napadači čak mogu da provere da li su ove lozinke ispravne, i da zatraže od korisnika kod za dvofaktornu autentifikaciju ako je ona uključena.
Kasidi kaže da njegov alat LostPass radi samo sa Chromeom, jer Firefox i drugi browseri prikazuju LastPass stranicu za prijavljivanje u iskačućim prozorima browsera.
LostPass je testiran sa najnovijim verzijama LastPassa (4.x).
Kasidi je o ovome obavestio LastPass još prošlog novembra, ali je kompanija odgovorila da je to fišing napad, a ne propust u LastPass. LastPass je pokušao da reši problem upozoravajući korisnike kada kucaju master lozinku na web sajtu. Međutim, Kasidi kaže da je ovo besmisleno jer napadači mogu da presretnu upozorenje i onemoguće ga.
Da bi izbegli ovakve probleme, Kasidi preporučuje korisnicima da nikada ne unose LastPass kredencijale u browser, i da za ponovno prijavljivanje koriste glavnu aplikaciju.
Kasidi kaže i da je bolje uključiti IP restrikciju za verziju LastPassa koja se plaća nego koristiti dvofaktornu autentifikaciju. Pored toga, korisnici mogu da isključe prijavljivanje sa mobilnih uređaja.
Izdvojeno
Zašto stručnjaci upozoravaju roditelje da razmisle pre objavljivanja fotografija dece na internetu
Sve više stručnjaka upozorava roditelje da dobro razmisle pre nego što objave fotografije ili video snimke svoje dece na internetu, jer razvoj veš... Dalje
Google poremetio rad jednog od najvećih botneta sa oko dva miliona uređaja
Google je saopštio da je značajno poremetio rad jednog od najvećih rezidencijalnih proksi botneta na svetu, poznatog pod nazivom NetNut, koji je pr... Dalje
Apple menja način objavljivanja bezbednosnih ažuriranja zbog AI pretnji
Apple menja način objavljivanja bezbednosnih ažuriranja kako bi brže odgovorio na sajber pretnje koje ubrzava razvoj veštačke inteligencije. Komp... Dalje
Microsoft uklonio 119 Edge ekstenzija koje su potajno preuzimale malver
Microsoft je uklonio 119 zlonamernih ekstenzija iz prodavnice dodataka za Edge nakon što je otkriveno da su bile deo velike kampanje nazvane StegoAd,... Dalje
ClickFix postao najčešći način isporuke malvera
Tehnika socijalnog inženjeringa ClickFix postala je najčešći način isporuke malvera, pokazuje analiza kompanije ReliaQuest koja je obuhvatila saj... Dalje
Pratite nas
Nagrade






Pratite nas preko RSS-a





