Специалист компании Google Тэвис Орманди очень удивляется тому, как люди могут доверять свои пароли расширению LastPass. Он отметил, что ему хватило всего лишь нескольких минут работы с сервисом для хранения паролей, чтобы обнаружить в нем несколько критических уязвимостей.
Специалисту удалось обнаружить в LastPass даже уязвимость нулевого дня, эксплуатируя которую злоумышленники смогли бы получить доступ абсолютно ко всем паролям, хранящимся в сервисе. Как позже установили эксперты, эта уязвимость касается расширения для браузера Firefox.
Сообщение об обнаруженной уязвимости появилось на официальной страничке Орманди в Twitter. Как и прежде, он очень эмоционально рассказал о проблеме. Эксперт заявил, что после обнаружения дыры в плагине, он сразу же сообщил об этом разработчикам сервиса. При этом стоит отметить, что сообщение в Twitter об уязвимости появилось лишь после того, как разработчики LastPass устранили описанную Орманди брешь.
Дождавшись выхода обновлений, специалист Google на одном из сайтов подробно расписал, чем может быть опасна обнаруженная уязвимость и как ее можно было использовать.
Для того чтобы получить доступ ко всем паролям, злоумышленнику требовалось создать специальный вредоносный сайт и заманить на него пользователя. После этого мошенник получает доступ к менеджеру паролей и может в фоновом режиме выполнять совершенно любые манипуляции с паролями. Причем пользователь даже не догадается, что без его ведома кто-то работает с его паролями.
Тэвис Орманди пообещал чуть позже проверить еще один популярный среди пользователей сервис, который называется 1Password.
Согласно сообщению представителей LastPass, в очередном обновлении своего сервиса они устранили еще одну очень важную уязвимость, которую обнаружил Матиас Карлссон, работающий в компании Detectify. На этот раз брешь в сервисе открывает доступ не к самим паролям, а к данным о сайтах, с помощью которых можно взламывать личные аккаунты пользователей.
Например, злоумышленники предлагают человеку пройти по специально созданной ссылке, содержащей в адресе attacker-site.com и URL необходимого сайта. Таким образом удается обмануть менеджер паролей, создав видимость, будто открывается реальный сайт. Соответственно, LastPass благодаря функции автозаполнения логинов и паролей подставляет на мошенническом сайте данные учетной записи пользователя. Получив их, злоумышленники смогут беспрепятственно заходить в аккаунты пользователей, чтобы использовать их для распространения вредоносного ПО или же похищения личных данных.
Таким образом, имея информация о всех сайтах, пароли для которых сохранены в менеджере, можно получить полный доступ о всем необходимым данным пользователя. Правда, уйдет на это достаточно много времени.
В то же время пользователи даже несмотря на наличие уязвимостей, не спешат отказываться от такого удобного сервиса, который избавляет от необходимости постоянно запоминать новые пароли и вручную вводить их на сайтах.
Стоит добавить, что в LastPass не впервые обнаруживаются серьезные дыры. Почти год назад от двух исследователей по безопасности поступило сообщение о том, что популярный сервис имеет массу уязвимостей, которые могут поставить под сомнение надежность менеджера паролей. А в начале текущего года еще один специалист Шон Кессиди вообще заявил, что ему удалось взломать мастер-пароль сервиса и получить доступ ко всем сохраненным паролям.
Напомним, что прошлым летом разработчики LastPass сообщили о масштабной атаке хакеров на их сервис, в результате чего в руки злоумышленников попали данные пользователей. Специалисты заявили, что приложение защищает личную информацию юзеров с помощью очень надежного шифрования, поэтому беспокоиться не о чем. Но все же эксперты призвали пользователей заменить мастер-пароли для доступа к своему приложению.