Používáte LastPass v Chromu? Pozor na sofistikovaný phishingový útok

Pokud používáte správce hesel LastPass, zbystřete. Bezpečnostní specialista Sean Cassidy se zaměřil na to, jak je populární doplněk pro prohlížeče zabezpečený před phishingovým podvodným útokem a zjistil, že má aplikace kritická místa ve svém návrhu.

Cassidy vytvořil webový skript, který vás nejprve odhlásí z LastPass a poté zobrazil na libovolném webu proužek s žádostí, abyste se znovu přihlásili. LastPass tak skutečně funguje a výzvy k přihlášení zobrazuje přímo na webu, kde je to potřeba. Jelikož je v tu chvíli LastPass skutečně odhlášený, vše vypadá naprosto věrohodně.

Klepněte pro větší obrázek
Pokud má LastPass problém s přihlášením, zobrazí podobnou výzvu přímo na webu, který se potřebuje přihlásit. Podobný proužek tedy může snadno zobrazit i útočník na libovolné stránce.

Po potvrzení zobrazí LastPass v případě Chromu přihlašovací dialog na interní adrese doplňku. Zde by mohl ovšem útočník použít namísto chrome-extension://xxxxx třeba chtome-extension.pw/xxxxx a doufat v to, že samotnou TLD doménu surfař přehlédne.

Jelikož LastPass nabízí webům vlastní API, útok může být dokonce ještě věrohodnější. Cassidy po zadání hlavního hesla služby tedy s pomocí API zkontroloval, jestli jsou údaje skutečně platné a pokračoval v přihlášení. A pokud údaje nebyly správné, zobrazil chybové hlášení.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Správný a falešný přihlašovací dialog doplňku LastPass. Jelikož interní stránky doplňků Chrome nijak nezvýrazňuje (třeba jako ty podepsané certifikátem v rámci HTTPS), falešný web uživatel snadno přehlédne.

Nakonec se tedy uživatel korektně přihlásil a mohl pokračovat v surfování, aniž by vůbec postřehl, že jeho hlavní heslo už má někdo jiný a tím pádem i přístup ke všem ostatním. Vzhledem k tomu, že většinu každodenních webových služeb už používáme automaticky a máme určitou slepotu na detaily, podobný útok by byl opravdu zákeřný.

Aby si jej mohli zdatnější surfaři sami nasimulovat, Cassudy uvolnil veškerý kód na GitHubu a ozval se i autorům LastPass, kteří však svůj doplněk upravili jen velmi kosmeticky.  

Témata článku: Web, Bezpečnost, Phishing, LastPass

20 komentářů

Nejnovější komentáře

  • Modrooky Miki 18. 1. 2016 19:54:50
    Co takhle si zapnout 2FA? :)
  • lubos777 18. 1. 2016 18:27:31
    "Country Restriction" v nastaveniach môže byť užitočný. Len dúfam, že...
  • Barney93 18. 1. 2016 17:31:38
    Najde se jeden rozumný argument, proč svěřovat svoje hesla třetí straně?...
Určitě si přečtěte

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

** Gary Kildall pochopil, že levné výpočetní čipy mohou posloužit jako univerzální počítače pro všechny ** Připravil pro ně proto první operační systém ** Později mu systém vyfoukl Microsoft a nazval ho MS DOS

23.  4.  2017 | Pavel Tronner | 57

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

** Už je to tady, lidé přestávají chápat počítače ** Systémy neuronových sítí začínají pracovat tak, že ani jejich tvůrci přesně neví, co se uvnitř děje ** Do budoucna to může být závažný problém

24.  4.  2017 | Jakub Čížek | 112

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

** Slavný osmibitový počítač Sinclair ZX Spectrum byl uveden právě před 35 lety ** Připomeňte si tento průkopnický počítač v tematických článcích ** Podívejte se, jak funguje dnes

23.  4.  2017 | Pavel Tronner | 13

Acer chrlí novinky: levný a tenký Predator, nové Switche a další notebooky

Acer chrlí novinky: levný a tenký Predator, nové Switche a další notebooky

** Acer na konferenci v New Yorku představil velkou spoustu novinek z oblasti počítačů, notebooků i monitorů ** Notebookové novinky se dotkly řad Predator, Swift, Switch i Aspire ** Herní notebooky dostaly nový typ chlazení

Včera | Karel Javůrek | 7

Správný počítač má alespoň dva monitory. Anebo je to jinak?

Správný počítač má alespoň dva monitory. Anebo je to jinak?

** David si nedokáže představit práci bez dvou a více monitorů ** Kubovi naopak stačí jeden a ve více displejích se ztrácí ** Jaký přístup je lepší?

23.  4.  2017 | Jakub Čížek | 59


Aktuální číslo časopisu Computer

Supertéma: moderní cestování

Kdy opravdu přijdou nové baterie?

Velké testy: 6 herních notebooků a 8 volantů

Recenze: AMD Ryzen řady 5