Image
21.1.2016 0 Comments

Používate LastPass na Chrome? Hrozí vám phishingový útok

Bezpečnostný výskumník Sean Cassidy vyvinul pomerne triviálny útok na službu správy hesiel LastPass, ktorá umožňuje útočníkom jednoduchým spôsobom získať hlavné heslo obete.

Cassidy zistil, že zakaždým, keď prihlásenie do správcu hesiel LastPass exspiruje, pričom on pokračuje v prehliadaní webu, na ľubovoľnej webovej stránke sa objaví prúžok so žiadosťou, aby sa znovu prihlásil.

lastpass_notification2.png

Pre používateľov to znamená nebezpečenstvo, pretože sú tak vystavení útokom typu web injection, ktoré sa bežne vyskytujú v rámci phishingových útokov proti používateľom portálov internetového bankovníctva.

Cassidy vytvoril nástroj LostPass, ktorého kód zverejnil na GitHube. Webový skript najprv odhlási používateľa z LastPass a vzápätí mu zobrazí prúžok na opätovné prihlásenie. Po potvrdení sa mu zobrazí podvrhnutá prihlasovacia stránka, takže všetko vyzerá vierohodne, pretože LastPass tak naozaj funguje. A keď používateľ zadá svoje prihlasovacie údaje, prihlási sa na server útočníka, ktorý tak získa jeho heslo.

lastpass_login.png

Keďže LastPass ponúka webom vlastné API, útočník môže po zadaní hlavného hesla služby pomocou API skontrolovať, či sú údaje platné, a pokračovať v prihlásení. LostPass funguje len s prehliadačom Chrome, pretože Firefox a iné prehliadače ukazujú prihlasovaciu obrazovku LastPass pomocou špecifických vyskakovacích okien. Cassidy v novembri upozornil na problém autorov LastPass, tí však svoj doplnok upravili len mierne. Používateľom sa pri zadávaní hlavného hesla do webovej stránky zobrazí varovanie. Podľa Cassidyho to však nemá zmysel, pretože varovanie je vlastne tiež web injection a útočník ho môže zachytiť a zakázať.

Zdroj: news.softpedia.com


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Elektrické autá budú musieť pri nízkych rýchlostiach vydávať umelý zvuk, aby neohrozovali chodcov

29.11.2016 00:22

Podľa nového nariadenia vydaného americkým Národným úradom pre bezpečnosť cestnej premávky budú musieť byť elektrické a hybridné vozidlá hlučnejšie počas jazdy pri nízkej rýchlosti. Má sa tým zabrániť ...

Bezpečnosť

Aj slúchadlá vás môžu špehovať. Malvér z nich urobí mikrofón

28.11.2016 00:16

Opatrní používatelia počítačov prelepujú ich webovú kameru páskou. Iní sa obávajú sledovania pomocou mikrofónov, preto vypínajú či dokonca odstraňujú tieto audiokomponenty. No skupina izraelských výsk ...

Bezpečnosť

Generálmajor Jonathan Shaw: Kybernetickú bezpečnosť musí riešiť manažment, a nie IT oddelenie

25.11.2016 00:13

Pod názvom Judgment Day sa v Bratislave konal už 11. ročník konferencie zameranej na informačnú bezpečnosť. Na konferencii, ktorú pripravuje TEMPEST spolu so svojimi partnermi, sa každoročne stretáva ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá