Как Хакеры Взломают Твой Смартфон?
Nawet menedżer haseł LastPass może zostać oszukany. Badacz bezpieczeństwa Google znalazł sposób, aby zdalnie przejąć kontrolę nad oprogramowaniem.
Działa poprzez pierwsze nakłanianie użytkownika do złośliwej witryny. Strona następnie wykorzysta lukę w dodatku LastPass do przeglądarki Firefox, dając mu kontrolę nad oprogramowaniem do zarządzania hasłami.
LastPass napisał o tej luce w środę i powiedział, że poprawka jest już dla użytkowników Firefoksa.
[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]Badania bezpieczeństwa Google Tavis Ormandy po raz pierwszy odkrył problem. Przeglądając hasło menedżera haseł, napisał we wtorek: "Czy ludzie naprawdę używają tej ostatniej rzeczy?" Szybko przyjrzałem się i dostrzegłem kilka oczywistych, krytycznych problemów. Wyślę raport jak najszybciej. "
Każda usterka z LastPass może stanowić duże ryzyko dla użytkowników. Popularne oprogramowanie ma na celu bezpieczne przechowywanie i automatyczne wypełnianie wszystkich haseł, które użytkownicy mają na swoich stronach.
Ormandy nie jest jedynym badaczem bezpieczeństwa, który znalazłby usterki w menedżerze haseł. W środę Mathias Karlsson z Detectify Labs powiedział, że udało mu się również zhackować LastPass - w tym przypadku ukraść hasła użytkownika.
Zrobił to wykorzystując błąd w rozszerzeniu przeglądarki Chrome menedżera haseł, napisał Karlsson na blogu post.
Zazwyczaj rozszerzenie przeglądarki LastPass automatycznie wpisuje hasło w niektórych witrynach odwiedzanych przez użytkownika. Jednak Karlsson zauważył, że rozszerzenie dodało jakiś kod HTML do każdej odwiedzanej witryny. Ten kod ma na celu zanalizowanie adresu witryny w celu zidentyfikowania domeny, a następnie wypełnienie wymaganego hasła.
Problem polega na tym, że kod HTML może zostać oszukany. Rozszerzenie automatycznie doda hasło użytkownika, nawet jeśli nie odwiedza właściwej witryny.
Karlsson wykorzystał błąd i stworzył fałszywy adres URL, wygłuszając rozszerzenie przeglądarki LastPass, myśląc, że odwiedza Twitter. Rozszerzenie następnie automatycznie wypełniło hasło do serwisu Twitter.
Haker może skorzystać z tej luki, budując złośliwą witrynę i nakłaniając użytkowników LastPass do odwiedzenia jej. Strona może następnie potajemnie zbierać hasła.
Karlsson zgłosił błąd ponad rok temu, a problem został naprawiony, zgodnie z LastPass. Zauważył, że obie luki w zabezpieczeniach wymagałyby od hakera, by podstępnie zmusił użytkownika do odwiedzenia szkodliwej strony.
Firma doradza użytkownikom, aby byli na zegarku w poszukiwaniu ataków typu phishing, którzy mogą wysyłać linki do niesmacznych stron internetowych.
Luka z menedżerem haseł LastPass może przekazać kontrolę hakerom
Można nawet oszukać menedżera haseł LastPass. Badacz bezpieczeństwa Google znalazł sposób na zdalne przejęcie oprogramowania.
AirDroid naprawia usterkę, która może zapewnić hakerom pełną kontrolę nad telefonem
Usterka dotyczy wersji AirDroid 3.0.4 i wcześniejszych
