Otkriven propust u LastPass koji omogućava fišing napade i krađu lozinki korisnika
Vesti, 19.01.2016, 01:30 AM
Istraživač Šon Kasidi otkrio je metod za napad na servis za upravljanje lozinkama LastPass koji omogućava napadačima da na relativno lak način dođu do master lozinki korisnika servisa.
Kasidi je otkrio da kad god sesije LastPass servisa isteknu dok korisnik pretražuje web, LastPass to prikazuje koristeći obaveštenja ubačena u sadržaj stranice. Zatim se stranica za prijavljivanje i dvofaktorni kod za autentifikaviju, ako je omogućena, takođe prikazuju na isti način.
Sa aspekta bezbednosti, ovo je loše rešenje, jer izlaže korisnike web injection napadima, kakve viđamo u fišing napadima na korisnike sajtova banaka.
Kasidi je razvio alat, koji je objavio na GitHub, nazvan LostPass, koji može omogućiti automatizovani jednostavan fišing napad na korisnike LastPass servisa i krađu njihovih master lozinki.
Sve što napadači treba da urade je da preusmere korisnike na legitiman web sajt koji je podložan XSS (cross-site scripting) napadima.
Na takvim legitimnim, ali ranjivim web sajtovima, alat LostPass bi koristio XSS propust da otkrije da li korisnik ima LastPass instaliran na računaru, da ga odjavi i da onda ubaci obaveštenje tražeći od korisnika da se ponovo prijavi na nalog.
Kada korisnik klikne na ovo obaveštenje, pojaviće se LastPass stranica za prijavljivanje, a kada korisnik unese svoje podatke, oni će se naći u rukama napadača.
Napadači čak mogu da provere da li su ove lozinke ispravne, i da zatraže od korisnika kod za dvofaktornu autentifikaciju ako je ona uključena.
Kasidi kaže da njegov alat LostPass radi samo sa Chromeom, jer Firefox i drugi browseri prikazuju LastPass stranicu za prijavljivanje u iskačućim prozorima browsera.
LostPass je testiran sa najnovijim verzijama LastPassa (4.x).
Kasidi je o ovome obavestio LastPass još prošlog novembra, ali je kompanija odgovorila da je to fišing napad, a ne propust u LastPass. LastPass je pokušao da reši problem upozoravajući korisnike kada kucaju master lozinku na web sajtu. Međutim, Kasidi kaže da je ovo besmisleno jer napadači mogu da presretnu upozorenje i onemoguće ga.
Da bi izbegli ovakve probleme, Kasidi preporučuje korisnicima da nikada ne unose LastPass kredencijale u browser, i da za ponovno prijavljivanje koriste glavnu aplikaciju.
Kasidi kaže i da je bolje uključiti IP restrikciju za verziju LastPassa koja se plaća nego koristiti dvofaktornu autentifikaciju. Pored toga, korisnici mogu da isključe prijavljivanje sa mobilnih uređaja.
Izdvojeno
Ove nedelje stupio na snagu prvi zakon koji zabranjuje slabe lozinke na pametnim uređajima
Nacionalni centar za sajber bezbednost Velike Britanije (NCSC) pozvao je proizvođače pametnih uređaja da se pridržavaju novog zakona koji im zabra... Dalje
Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke
Istraživanje o lozinkama koje je sprovela kompanija Bitwarden pokazalo je da se većina ljudi i dalje oslanja na pamćenje i olovku i papir kada je r... Dalje
Posle SAD, Avast kažnjen i u EU zbog kršenja zakona o zaštiti podataka korisnika
Kancelarija za zaštitu ličnih podataka u Češkoj (UOOU) izrekla je kaznu od 15,8 miliona evra kompaniji Avast zbog kršenja Opšte uredbe za zašti... Dalje
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Pratite nas
Nagrade