Používate LastPass na Chrome? Hrozí vám phishingový útok

Bez­peč­nost­ný vý­skum­ník Sean Cas­si­dy vy­vi­nul po­mer­ne tri­viál­ny útok na služ­bu sprá­vy he­siel Las­tPass, kto­rá umož­ňu­je útoč­ní­kom jed­no­du­chým spô­so­bom zís­kať hlav­né hes­lo obe­te.

Cas­si­dy zis­til, že za­kaž­dým, keď prih­lá­se­nie do správ­cu he­siel Las­tPass exspi­ru­je, pri­čom on pok­ra­ču­je v pre­hlia­da­ní webu, na ľu­bo­voľ­nej webo­vej strán­ke sa ob­ja­ví prú­žok so žia­dos­ťou, aby sa zno­vu prih­lá­sil.

lastpass_notification2.png

Pre pou­ží­va­te­ľov to zna­me­ná ne­bez­pe­čen­stvo, pre­to­že sú tak vy­sta­ve­ní úto­kom ty­pu web in­jec­tion, kto­ré sa bež­ne vy­sky­tu­jú v rám­ci phis­hin­go­vých úto­kov pro­ti pou­ží­va­te­ľom por­tá­lov inter­ne­to­vé­ho ban­kov­níc­tva.

Cas­si­dy vy­tvo­ril nás­troj Los­tPass, kto­ré­ho kód zve­rej­nil na Git­Hu­be. Webo­vý skript naj­prv od­hlá­si pou­ží­va­te­ľa z Las­tPass a vzá­pä­tí mu zob­ra­zí prú­žok na opä­tov­né prih­lá­se­nie. Po potvr­de­ní sa mu zob­ra­zí podvr­hnu­tá prih­la­so­va­cia strán­ka, tak­že všet­ko vy­ze­rá vie­ro­hod­ne, pre­to­že Las­tPass tak nao­zaj fun­gu­je. A keď pou­ží­va­teľ za­dá svo­je prih­la­so­va­cie úda­je, prih­lá­si sa na server útoč­ní­ka, kto­rý tak zís­ka je­ho hes­lo.

lastpass_login.png

Keď­že Las­tPass po­nú­ka webom vlas­tné API, útoč­ník mô­že po za­da­ní hlav­né­ho hes­la služ­by po­mo­cou API skon­tro­lo­vať, či sú úda­je plat­né, a pok­ra­čo­vať v prih­lá­se­ní. Los­tPass fun­gu­je len s pre­hlia­da­čom Chro­me, pre­to­že Fi­re­fox a iné pre­hlia­da­če uka­zu­jú prih­la­so­va­ciu ob­ra­zov­ku Las­tPass po­mo­cou špe­ci­fic­kých vy­ska­ko­va­cích okien. Cas­si­dy v no­vem­bri upo­zor­nil na prob­lém auto­rov Las­tPass, tí však svoj dopl­nok up­ra­vi­li len mier­ne. Pou­ží­va­te­ľom sa pri za­dá­va­ní hlav­né­ho hes­la do webo­vej strán­ky zob­ra­zí va­ro­va­nie. Pod­ľa Cas­si­dy­ho to však ne­má zmy­sel, pre­to­že va­ro­va­nie je vlas­tne tiež web in­jec­tion a útoč­ník ho mô­že za­chy­tiť a za­ká­zať.

Zdroj: news.sof­tpe­dia.com


Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

EÚ schvá­li­la sys­tém Pri­va­cy Shield na ochra­nu európ­skych dát na ame­ric­kých server­och
Európska únia ukončila rokovania s americkou stranou týkajúce sa odovzdávania osobných údajov spoločnostiam sídliacim v USA. čítať »
 
Hac­ke­ri ov­lád­li dro­ny NA­SA a plá­no­va­li ha­vá­riu Glo­bal Hawk
Hackerskej skupine vystupujúcej pod názvom AnonSec sa podarilo nabúrať do špeciálneho programu na ovplyvňovanie počasia, nad ktorým má v súčasnosti kontrolu americká NASA. čítať »
 
Alian­cii Fair-play a plat­for­me Slo­ven­sko.Di­gi­tal sa ne­poz­dá­va­jú šty­ri IT pro­jek­ty mi­nis­terstiev
Neziskové občianske združenie Aliancia Fair-play (AFP) a Platforma Slovensko.Digital žiadajú ministerstvá vnútra, dopravy a školstva, aby zastavili a prehodnotili obstarávania štyroch veľkých IT projektov, ktoré v rezortoch momentálne prebiehajú. čítať »
 
Mô­že sa zo zmu­to­va­nej zi­ky stať glo­bál­na hroz­ba?
Vírus zika sa začal rýchlo šíriť po celom svete. V teplých oblastiach oboch amerických kontinentov, kam sa dostal začiatkom minulého roka, už možno hovoriť o pandémii. čítať »
 
Jad­ro­vé zbra­ne ma­jú ochrá­niť Zem pred prí­pad­ným ar­ma­ge­do­nom
Aj keď sa o jadrových zbraniach hovorí zväčša v negatívom svetle, vedci v nich paradoxne vidia efektívny spôsob na záchranu Zeme pred prípadnou hrozbou. čítať »
 
Di­gi­tál­na bez­peč­nosť v ro­ku 2016: Inter­net ve­cí, mo­bil­né za­ria­de­nia a ochra­na de­tí
ESET každý rok pripravuje svoj prehľad bezpečnostných tém, ktoré budú v najbližších mesiacoch trápiť bežných používateľov alebo firmy a organizácie. čítať »
 
Len 17-roč­ný mla­dík vy­na­šiel ven­ti­lá­to­ro­vý sys­tém brá­nia­ci ší­re­niu mik­ró­bov v lie­tad­le
Chytiť nejakú chorobu na palube lietadla nie je nič príjemné. Pritom mnohé vírusy nebezpečných chorôb, ako je napr. SARS či vtáčia chrípka, sa v nedávnej minulosti šírili po svete práve prostredníctvom lietadiel. čítať »
 
ESET pri­dá­va do kon­zo­ly vzdia­le­nej sprá­vy ma­na­žo­va­nie iP­ho­nov a iPa­dov
ESET vydáva ESET Virtualization Security. Toto nové riešenie pre VMware vShield nevyžadujúce nasadenie agenta kombinuje využitie ESET Virtualization Security s konzolou vzdialenej správy ESET Remote Administrator tak, aby poskytovalo ochranu oceňovaného skenovacieho jadra spolu s osvedčenou vzdialenou správou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter