LastPass lukker tre kritiske sårbarheder: Ondsindet website kunne stjæle kodeord

Fund af sårbarheder bør ikke afholde folk fra at bruge kodeordshusker, mener sikkerhedsekspert.

Kodeordshuskeren LastPass har patchet tre kritiske sikkerhedshuller, som kunne udnyttes af tredjepart til at opsnappe kodeord.

Det skriver Bleeping Computer.

Læs også: Stribevis af sikkerhedsproblemer i kodeords-huskere på Android

Sårbarhederne blev fundet af Tavis Ormandy, en sikkerhedsforsker hos Google. En af hullerne gælder LastPass-udvidelsen til Chrome, mens de øvrige to berører udvidelsen til Firefox.

For Chrome-browserens vedkommende kunne Ormandy med et proof-of -concept-script demonstrere, hvordan man kan angribe et JavaScript-script, der kommunikerer mellem brugerens browser og LastPass' sky, der gemmer brugerens kodeord.

Læs også: MD5, SHA-1 eller Scrypt: Er dine brugeres kodeord (forsvarligt) krypteret?

Med demonstrationen viste sikkerhedsforskeren, at et angreb her kan åbne Windows' indbyggede lommeregner. Men scriptet kan altså også udnyttes til at stjæle brugeres kodeord, før de bliver kopieret ind i tekstfelterne i brugerens browser.

Ifølge Ormandy kunne LastPass i første omgang ikke genskabe proof-of-koncept-angrebet. I sikkerhedsforskerens log fremgik det dog, at selskabet forsøgte koden på en Mac, hvor calc.exe naturligvis ikke kan åbnes, skriver han.

De to sårbarheder i Firefox-udvidelsen gælder version3.3.2, der ifølge LastPass er den mest populære version af browserudvidelsen. Igen er der ifølge Ormandy tale om script-injection, der gør det muligt at opsnappe kodeord. Angrebet er demonstreret her.

Læs også: Ond kodeordschecker advarer dig mod at genbruge dit kodeord

I juli sidste år fandt Ormandy en lignende fejl i browserudvidelser fra LastPass. Sikkerhedsforsker Sean Cassidy udviklede i januar 2016 et angreb, der gør det muligt at stjæle kodeordet til selve LastPass.

Stifter af sikkerhedsselskabet Rendition Infosec Jake Williams påpeger på Twitter, at sårbarhederne ikke bør afholde folk fra at bruge en kodeordshusker:

Sandsynligheden for at få sin LastPass-konto hacket er væsentlig mindre end at få lækket genbrugte kodeord fra diverse usikre webtjenester, uddyber han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Kodeordshuskeren LastPass har patchet tre kritiske sikkerhedshuller, som kunne udnyttes af tredjepart til at opsnappe kodeord. Det skriver Bleeping Computer. Læs også: Stribevis af sikkerhedsproblemer i kodeords-huskere på Android Sårbarhederne blev fundet af Tavis Ormandy, en sikkerhedsforsker hos
Google. En af hullerne gælder LastPass-udvidelsen til Chrome, mens de øvrige to berører udvidelsen til Firefox. For Chrome-browserens vedkommende kunne Ormandy med et proof-of -concept-script demonstrere, hvordan man kan angribe et JavaScript-script, der kommunikerer mellem brugerens browser og LastPass' sky, der gemmer brugerens kodeord. Læs også: MD5, SHA-1 eller Scrypt: Er dine brugeres...