LastPass a pácban

2014. július 14. 11:40 - Csizmazia Darab István [Rambo]

Biztonsági lukak bukkantak fel a népszerű LastPass nevű internetes jelszómenedzser programban. A cég szerint egyáltalán nem kell pánikba esni, bár azt azért mindenképpen érdemes figyelembe venni, hogy hasonló esetekben a gyártók rendre igyekeznek bagatellizálni a sebezhetőségek súlyosságát. A mostani kihasználható hibák Chrome, Firefox, Opera és a Safari alatt jelentkeznek.  

Az egyik ilyen sebezhetőség a LastPass könyvjelzőkkel kapcsolatos, ezeket a kis JavaScript kódrészleteket telepíthetjük kedvenc böngészőnk alá. Ha rákattintunk egy ilyen Bookmarkletre, akkor ez lefut. Zhiwei Li biztonsági kutató a Berkeley egyetemről azonban felfedezett egy olyan módszert, amivel ha a felhasználó egy kártékony weblapon használta ezt a könyvjelzőzést, akkor a rosszindulatú támadóknak lehetségessé vált a felhasználó más oldalainak jelszavait kilopni a LastPass alkalmazásból.

A szakértő a tesztjei során például sikerrel tulajdonított el Dropbox belépési adatokat. A LastPass szerint mindez nem igazán veszélyes, mert állítólag a felhasználók kevesebb, mint 1%-a használja csak a Bookmarklet funkciót, és különben is, ők még nem találkoztak olyan kóddal, ami azt bizonyította volna, hogy valóban aktívan kihasználják ezt a sérülékenységet. (Vajon hol hallottunk már korábban ilyen mondatokat? ;-)

Egy másik sebezhetőség az OTP-t, azaz a szuper biztonságos One Time Password-öt érinti. Az egyszer használatos jelszó elvileg feltörhetetlen biztonságot ad, még ha egy megbízhatatlan számítógépre kell is belépnünk. Itt a szakértő azt demonstrálta, hogy ha a támadó tudta az áldozat LastPass felhasználói nevét, akkor bár szerencsére közvetlenül nem fért hozzá a tárolt jelszavakhoz, viszont elérhette a titkosítva tárolt jelszóadatbázist, illetve a hitelesítő adatokat akár ki is tudta törölni. Zhiwei Li és kutató társai, akik a kísérleteket nem éles, hanem a demóhoz létrehozott accountokon végezték, átadták az információkat a LastPass fejlesztőknek.

Mint minden programban, a jelszómenedzserekben is fedeznek fel időnként hibákat, így a LastPass mellett a RoboForm, a My1Login, a PasswordBox vagy a NeedMyPassword is terítéken volt már hasonló okokból. Mindez természetesen nem jelenti azt, hogy ezeket egyáltalán ne használjuk, hanem helyette mindenhol egységesen az "abc123" jelszót állítsuk be, de fontos, hogy mindenki tisztában legyen a lehetséges kockázatokkal.

Ami viszont biztos, hogy a sebezhetőségek nyilvánosságra kerülése esetén a helyzet beismerése, az arra adott reagálás és magának a javítás megjelenésének a gyorsasága is nagyban meghatározhatja azt, hogy melyik jelszómenedzser termékbe helyezzük hosszú távon a bizalmunkat, amelyre emlékezetünk és sárga cetlik helyett "mindent egy lapra" feltéve az összes internetes elérési belépési adatunk biztonságos őrzését rábízzuk.

Az összes antivírus szakember évek óta hangsúlyozza, hiába használ valaki megfelelő védelmi programokat, ha eközben mindenütt gyenge vagy azonos jelszavai vannak. Emlékezetes például, hogy a már hetedik éve toplistás Conficker féreg is épít erre, szótáralapú támadást indítva a gyenge adminisztrátori jelszavak ellen. De az is gyakori forgatókönyv, hogy a támadók az egyik helyen megszerzett jelszavakat az áldozat összes lehetséges online helyszínén végigpróbálgatják Gmail-től Facebook-ig, hátha szerencséjük lesz. Valószínűleg pontosan ez az utóbbi technika okozta például a legutóbbi Apple gépeken előfordult Oleg Pliss féle incidenseket is.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr136506999

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.