reklama

Používáte LastPass v Chromu? Pozor na sofistikovaný phishingový útok

Pokud používáte správce hesel LastPass, zbystřete. Bezpečnostní specialista Sean Cassidy se zaměřil na to, jak je populární doplněk pro prohlížeče zabezpečený před phishingovým podvodným útokem a zjistil, že má aplikace kritická místa ve svém návrhu.

Cassidy vytvořil webový skript, který vás nejprve odhlásí z LastPass a poté zobrazil na libovolném webu proužek s žádostí, abyste se znovu přihlásili. LastPass tak skutečně funguje a výzvy k přihlášení zobrazuje přímo na webu, kde je to potřeba. Jelikož je v tu chvíli LastPass skutečně odhlášený, vše vypadá naprosto věrohodně.

Klepněte pro větší obrázek
Pokud má LastPass problém s přihlášením, zobrazí podobnou výzvu přímo na webu, který se potřebuje přihlásit. Podobný proužek tedy může snadno zobrazit i útočník na libovolné stránce.

Po potvrzení zobrazí LastPass v případě Chromu přihlašovací dialog na interní adrese doplňku. Zde by mohl ovšem útočník použít namísto chrome-extension://xxxxx třeba chtome-extension.pw/xxxxx a doufat v to, že samotnou TLD doménu surfař přehlédne.

Jelikož LastPass nabízí webům vlastní API, útok může být dokonce ještě věrohodnější. Cassidy po zadání hlavního hesla služby tedy s pomocí API zkontroloval, jestli jsou údaje skutečně platné a pokračoval v přihlášení. A pokud údaje nebyly správné, zobrazil chybové hlášení.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Správný a falešný přihlašovací dialog doplňku LastPass. Jelikož interní stránky doplňků Chrome nijak nezvýrazňuje (třeba jako ty podepsané certifikátem v rámci HTTPS), falešný web uživatel snadno přehlédne.

Nakonec se tedy uživatel korektně přihlásil a mohl pokračovat v surfování, aniž by vůbec postřehl, že jeho hlavní heslo už má někdo jiný a tím pádem i přístup ke všem ostatním. Vzhledem k tomu, že většinu každodenních webových služeb už používáme automaticky a máme určitou slepotu na detaily, podobný útok by byl opravdu zákeřný.

Aby si jej mohli zdatnější surfaři sami nasimulovat, Cassudy uvolnil veškerý kód na GitHubu a ozval se i autorům LastPass, kteří však svůj doplněk upravili jen velmi kosmeticky.  

Témata článku: Web, Bezpečnost, Phishing, LastPass

20 komentářů

Nejnovější komentáře

  • Modrooky Miki 18. 1. 2016 19:54:50
    Co takhle si zapnout 2FA? :)
  • lubos777 18. 1. 2016 18:27:31
    "Country Restriction" v nastaveniach môže byť užitočný. Len dúfam, že...
  • Barney93 18. 1. 2016 17:31:38
    Najde se jeden rozumný argument, proč svěřovat svoje hesla třetí straně?...
reklama
Určitě si přečtěte

Microsoft: Zbavte se už konečně zastaralých a děravých Windows 7

Microsoft: Zbavte se už konečně zastaralých a děravých Windows 7

** Microsoft pomalu začíná kritizovat svůj nejpopulárnější OS ** Chce konečně dostat podniky na Desítky ** Bezpečnostní podpora Sedmiček vydrží ještě necelé tři roky

17.  1.  2017 | Jakub Čížek | 375

Český státní blacklist už funguje. Ministerstvo financí se pochlubilo s detaily

Český státní blacklist už funguje. Ministerstvo financí se pochlubilo s detaily

** Dva týdny po Novém roce zajím zeje prázdnotou ** Ministerstvo vydalo metodický pokyn ** Takhle to bude fungovat v praxi

16.  1.  2017 | Jakub Čížek | 49

Opera Neon: Takto prý bude vypadat prohlížeč budoucnosti. Chcete to?

Opera Neon: Takto prý bude vypadat prohlížeč budoucnosti. Chcete to?

** Opera představila Neon ** Koncepci prohlížeče budoucnosti ** Připomíná Chrome OS

16.  1.  2017 | Jakub Čížek | 35


Aktuální číslo časopisu Computer

99 nejlepších programů pro váš počítač

Zvykejte si na umělou inteligenci

Velké testy PC zdrojů a gamepadů

Alternativní zdroje energie

reklama
reklama