LastPass, בשימוש על ידי מיליונים, עשוי להיות חשוף לניצול פשוט להחריד - מחשוב - 2019

Anonim

LastPass היה פגיע, האקר כובע לבן על פרויקט Zero של גוגל טען ביום שלישי. תיקון עבור הבעיה היה על ידי יום חמישי, Engadget הוא דיווח.

Tavis Ormandy, חוקר המזוהה עם צוות המחקר הביטחוני של גוגל, Project Zero, שאל בסרקזם אם מישהו באמת משתמש ב- LastPass בטוויטר אתמול, והוסיף כי הוא מצא חבורה של בעיות אבטחה בסיסיות עם מעט יותר מאשר מבט מהיר, Betanews מדווח. LastPass הוא שירות אחסון הסיסמה הפופולרי ביותר על פני כדור הארץ, עם מיליוני משתמשים.

האם אנשים באמת משתמש זה הדבר האחרון? לקחתי מבט מהיר יכול לראות חבורה של בעיות קריטיות ברורות. אני אשלח דוח בהקדם האפשרי.

- Tavis Ormandy (@taviso) יולי 26, 2016

Ormandy שלח דיווח על בעיות אבטחה כדי LastPass, אשר תוקנו את הבעיות. הבעיה, אומר LastPass, היא כי אתר זדוני יכול לגשת לתוסף Firefox ללא המשתמש אפילו לדעת, ולעשות דברים כמו למחוק סיסמאות מהשירות. הבעיה נפתרה במלואה עכשיו.

להלן פרטי הפגיעות שדיווחתי עליה //t.co/2fWFyBFzUm //t.co/3HaEQRJEqa

- Tavis Ormandy (@taviso) יולי 28, 2016

צוות Zero של Google מעסיק באופן שגרתי את פגמי האבטחה באינטרנט, הן בשירותי Google והן באלה שנוצרו על ידי חברות אחרות. פגמים מדווחים לחברות המתאימות, שיש להן 60 יום לפתור את הבעיה. בשלב זה, פרויקט אפס עושה את הפגמים לציבור. הרעיון הוא לעודד חברות לתקן את הבעיות, ובמקרה זה נראה כי עובד: LastPass אמר Ormandy כי תיקון בדרך.

אז אנחנו לא יודעים מה הבעיות Ormandy מצאו במשך זמן מה. אבל אם אתה רוצה לקרוא משהו מפחיד עכשיו, החוקר מתיאס קרלסון גם מצא פגם LastPass מפחיד אתרי זדוני יכול להשתמש כדי לתפוס את כל הסיסמאות שלך בתפזורת, אם משתמשים לעזוב את התכונה התחברות אוטומטית מופעלת.

"ראשית, הקוד מנתח את כתובת האתר כדי להבין באיזה דומיין הדפדפן נמצא כעת, ולאחר מכן הוא מילא טפסים התחברות עם אישורים מאוחסנים", כתב קרלסון בבלוג לכתוב את הבעיה. "עם זאת, קוד URL ניתוח היה פגום (באג ב URL ניתוח!

LastPass היה מהיר להגיב על הבעיה, ואף שילמה קרלסון $ 1, 000 bounty למציאת ודיווח על הבעיה.

קרלסון, מצדו, חושב מנהלי סיסמאות שווים שימוש, למרות פגמים כאלה.

"הם עדיין טובים בהרבה מהאלטרנטיבה (שימוש חוזר בסיסמה)", כתב קרלסון.

עם זאת, השבתת המילוי האוטומטי עשויה להיות רעיון טוב, ב- LastPass ובשירותים דומים.