На прошлой неделе стало известно, что известный исследователь проекта Google Project Zero Тэвис Орманди решил снова проверить на прочность одно из самых популярных расширений для браузера Chrome — менеджер паролей LastPass. Ему удалось обнаружить в нем несколько серьезных уязвимостей. Компания еще даже не успела выпустить патчи для своего продукта, как Орманди нашел новый способ взлома и похищения паролей пользователей.
В прошлый раз Орманди заявил, что ему удалось совершить атаку благодаря уязвимостям LastPass, которые содержатся в версиях для браузеров Chrome и Firefox. Для похищения паролей злоумышленнику нужно заманить свою жертву на зараженный сайт. С помощью такой атаки хакеры смогут не только похитить все пароли, хранящиеся в менеджере, но еще и удаленно выполнить произвольный код на персональном компьютере пользователя.
Новая уязвимость выявлена на днях. Естественно, за такой короткий срок разработчики не успели подготовить очередной патч, поэтому Орманди на своей странице в Twitter только в общих чертах рассказал о новом баге.
Обнаруженная им брешь в LastPass может использоваться для выполнения произвольного кода на компьютере жертвы. Орманди написал, что пока он принимал душ утром, ему пришла в голову гениальная идея о том, как можно взломать LastPass 4.1.43. Исследователь обещал предоставить полное описание проблемы позже.
Сами же разработчики расширения пока проблему тоже не комментируют. Они лишь только в своем блоге отметили, что выявленная Орманди атака уникальная и совершить ее даже опытному хакеру будет сложно. Тем не менее, опасаясь того, что информацию о новой уязвимости могут перехватить злоумышленники, подробности о ней и о новом патче держатся в секрете. А чтобы обезопасить своих пользователей, они советуют людям использовать двухфакторную аутентификацию.
В своем сообщении разработчики LastPass поблагодарили всех исследователей, которые помогают выявлять уязвимости в менеджере паролей. Это помогает поддерживать безопасность расширения на высоком уровне и обеспечивать сохранность паролей пользователей. Тем не менее за свои публикации по поводу выявления дыр в LastPass Орманди уже не раз натыкался на критику. В основном, его критикуют коллеги, которые недовольны тем, что исследователь сразу же после выявления выставляет в Интернет всю информацию о проблеме. Согласно общепринятым правилам, ему стоит подождать 90 дней. Только по истечении этого срока данные могут быть обнародованы. Однако на этот раз Орманди воздержался от опубликования подробностей. Тем не менее его подписчики считают, что эта информация тоже может привлечь внимание хакеров и дать им возможность самостоятельно выявить ее и использовать в мошеннических целях.
Отметим, что в прошлом году Орманди тоже удалось взломать менеджер паролей, в связи с чем он был очень сильно удивлен такой большой популярность сервиса. Учитывая то, какое большое количество уязвимостей обнаруживается в LastPass, действительно могут возникнуть сомнения по поводу его надежности.