Otkriven propust u LastPass koji omogućava fišing napade i krađu lozinki korisnika

Vesti, 19.01.2016, 01:30 AM

Otkriven propust u LastPass koji omogućava fišing napade i krađu lozinki korisnika

Istraživač Šon Kasidi otkrio je metod za napad na servis za upravljanje lozinkama LastPass koji omogućava napadačima da na relativno lak način dođu do master lozinki korisnika servisa.

Kasidi je otkrio da kad god sesije LastPass servisa isteknu dok korisnik pretražuje web, LastPass to prikazuje koristeći obaveštenja ubačena u sadržaj stranice. Zatim se stranica za prijavljivanje i dvofaktorni kod za autentifikaviju, ako je omogućena, takođe prikazuju na isti način.

Sa aspekta bezbednosti, ovo je loše rešenje, jer izlaže korisnike web injection napadima, kakve viđamo u fišing napadima na korisnike sajtova banaka.

Kasidi je razvio alat, koji je objavio na GitHub, nazvan LostPass, koji može omogućiti automatizovani jednostavan fišing napad na korisnike LastPass servisa i krađu njihovih master lozinki.

Sve što napadači treba da urade je da preusmere korisnike na legitiman web sajt koji je podložan XSS (cross-site scripting) napadima.

Na takvim legitimnim, ali ranjivim web sajtovima, alat LostPass bi koristio XSS propust da otkrije da li korisnik ima LastPass instaliran na računaru, da ga odjavi i da onda ubaci obaveštenje tražeći od korisnika da se ponovo prijavi na nalog.

Kada korisnik klikne na ovo obaveštenje, pojaviće se LastPass stranica za prijavljivanje, a kada korisnik unese svoje podatke, oni će se naći u rukama napadača.

Napadači čak mogu da provere da li su ove lozinke ispravne, i da zatraže od korisnika kod za dvofaktornu autentifikaciju ako je ona uključena.

Kasidi kaže da njegov alat LostPass radi samo sa Chromeom, jer Firefox i drugi browseri prikazuju LastPass stranicu za prijavljivanje u iskačućim prozorima browsera.

LostPass je testiran sa najnovijim verzijama LastPassa (4.x).

Kasidi je o ovome obavestio LastPass još prošlog novembra, ali je kompanija odgovorila da je to fišing napad, a ne propust u LastPass. LastPass je pokušao da reši problem upozoravajući korisnike kada kucaju master lozinku na web sajtu. Međutim, Kasidi kaže da je ovo besmisleno jer napadači mogu da presretnu upozorenje i onemoguće ga.

Da bi izbegli ovakve probleme, Kasidi preporučuje korisnicima da nikada ne unose LastPass kredencijale u browser, i da za ponovno prijavljivanje koriste glavnu aplikaciju.

Kasidi kaže i da je bolje uključiti IP restrikciju za verziju LastPassa koja se plaća nego koristiti dvofaktornu autentifikaciju. Pored toga, korisnici mogu da isključe prijavljivanje sa mobilnih uređaja.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Interpol pozvao na hitnu akciju: tehnologija veštačke inteligencije podstiče globalni porast sajber kriminala

Interpol pozvao na hitnu akciju: tehnologija veštačke inteligencije podstiče globalni porast sajber kriminala

Tehnologija veštačke inteligencije podstiče porast finansijskih prevara i sajber kriminala, upozorio je Interpol. Sofisticirane prevare i lanci trg... Dalje

Hakeri tvrde da su ukrali 740GB podataka korisnika Vibera

Hakeri tvrde da su ukrali 740GB podataka korisnika Vibera

Propalestinski hakeri koji sebe nazivaju „Handala Hack“ tvrde da su hakovali Viber, i ukrali 740 GB podataka, uključujući izvorni kod, ... Dalje

Google ''belim hakerima'' isplatio 10 miliona dolara za prijavljene greške u njegovim proizvodima i servisima

Google ''belim hakerima'' isplatio 10 miliona dolara za prijavljene greške u njegovim proizvodima i servisima

Google je 2023. isplatio 10 miliona dolara istraživačima bezbednosti koji su otkrili hiljade ranjivosti u njegovim proizvodima i uslugama. Tehnološ... Dalje

Google Chrome dobija zaštitu od ''pecanja'' (phishing) u realnom vremenu

Google Chrome dobija zaštitu od ''pecanja'' (phishing) u realnom vremenu

Ažuriranjem Bezbednog pregledanja (Safe Browsing) Google će ovog meseca svim korisnicima Chromea obezbediti zaštitu od malvera i „pecanja&ldq... Dalje

Rusija optužila SAD i zapadne zemlje da pokušavaju da ''hakuju'' predsedničke izbore

Rusija optužila SAD i zapadne zemlje da pokušavaju da ''hakuju'' predsedničke izbore

Dok se Rusija priprema za predsedničke izbore ove nedelje, njeni sistemi su navodno na meti „masovnih” sajber napada, navode lokalne vlas... Dalje