LastPass, що використовується мільйонами, може бути уразливим для просто віруючих - Обчислення - 2019

Anonim

LastPass був уразливим, заявив у вівторок хакер з білого шапки в Google Project Zero. Патч до проблеми вийшов до четверга, повідомляє Engadget.

Тавіс Ормандія, дослідник, пов'язаний з групою дослідників безпеки Google Project Zero, саркастично запитує, чи хтось насправді використовує LastPass на Twitter вчора, додавши, що він знайшов цілу низку основних проблем безпеки з трохи більш ніж швидким поглядом, повідомляє Betanews. LastPass - найпопулярніший сервіс для зберігання паролів на планеті з мільйонами користувачів.

Чи дійсно люди використовують цю просту справу? Я швидко подивився і бачив купу очевидних критичних проблем. Я надішлю доповідь якнайшвидше.

- Тавіс Ормандія (@taviso) 26 липня 2016 року

Ормандія надіслав звіт про проблеми безпеки LastPass, який вирішив проблеми. Проблема, за словами LastPass, полягає в тому, що зловмисний веб-сайт може отримати доступ до розширення Firefox, навіть якщо користувач навіть не знає, і робити такі дії, як видалення паролів із сервісу. Питання повністю вирішено зараз.

Ось деталі вразливості, про які я повідомив //t.co/2fWFyBFzUm //t.co/3HaEQRJEqa

- Тавіс Ормандія (@ataviso) 28 липня 2016 року

Команда Google Project Zero регулярно проводить дослідження недоліків безпеки в Інтернеті як в службах Google, так і в тих, які створені іншими компаніями. Недоліки повідомляються відповідним компаніям, які мають 60 днів для вирішення проблеми. У цьому пункті Project Zero робить недоліки загальнодоступними. Ідея полягає в тому, щоб заохотити компанії вирішувати проблеми, і в цьому випадку це, здається, працює: LastPass повідомив Орманді, що виправлення є на шляху.

Тож ми не будемо знати, які проблеми Ормандія знайшов на деякий час. Але якщо ви хочете читати щось страшне прямо зараз, дослідник Матіас Карлссон також знайшов жахливий останній пакунок зловмисними сайтами, які могли б використати для захоплення всіх ваших паролів навалом, якщо користувачі залишать функцію автоматичного входу.

"По-перше, код проаналізував URL-адресу, щоб з'ясувати, який домен у браузері на даний момент був, і він заповнив всі формати входу з збереженими обліковими даними", Карлссон написав в блозі повідомлення з викладенням проблеми. "Проте, синтаксичний аналіз коду URL-адреси був помилковим (помилка в розборі URL-адрес" shocker! ")."

LastPass швидко відреагував на проблему, і навіть заплатив Карлссону винагороду у розмірі 1 000 доларів за пошук та повідомлення про проблему.

Карлссон, зі свого боку, вважає, що менеджери паролів варто використовувати, незважаючи на такі недоліки.

"Вони все ще набагато кращі, ніж альтернатива (повторне використання пароля)", - писав Карлссон.

Сказавши це, відключення автозаповнення може бути гарною ідеєю на LastPass та подібних сервісах.