Používáte LastPass v Chromu? Pozor na sofistikovaný phishingový útok

Pokud používáte správce hesel LastPass, zbystřete. Bezpečnostní specialista Sean Cassidy se zaměřil na to, jak je populární doplněk pro prohlížeče zabezpečený před phishingovým podvodným útokem a zjistil, že má aplikace kritická místa ve svém návrhu.

Cassidy vytvořil webový skript, který vás nejprve odhlásí z LastPass a poté zobrazil na libovolném webu proužek s žádostí, abyste se znovu přihlásili. LastPass tak skutečně funguje a výzvy k přihlášení zobrazuje přímo na webu, kde je to potřeba. Jelikož je v tu chvíli LastPass skutečně odhlášený, vše vypadá naprosto věrohodně.

548899369
Pokud má LastPass problém s přihlášením, zobrazí podobnou výzvu přímo na webu, který se potřebuje přihlásit. Podobný proužek tedy může snadno zobrazit i útočník na libovolné stránce.

Po potvrzení zobrazí LastPass v případě Chromu přihlašovací dialog na interní adrese doplňku. Zde by mohl ovšem útočník použít namísto chrome-extension://xxxxx třeba chtome-extension.pw/xxxxx a doufat v to, že samotnou TLD doménu surfař přehlédne.

Jelikož LastPass nabízí webům vlastní API, útok může být dokonce ještě věrohodnější. Cassidy po zadání hlavního hesla služby tedy s pomocí API zkontroloval, jestli jsou údaje skutečně platné a pokračoval v přihlášení. A pokud údaje nebyly správné, zobrazil chybové hlášení.

462506505 985629733
Správný a falešný přihlašovací dialog doplňku LastPass. Jelikož interní stránky doplňků Chrome nijak nezvýrazňuje (třeba jako ty podepsané certifikátem v rámci HTTPS), falešný web uživatel snadno přehlédne.

Nakonec se tedy uživatel korektně přihlásil a mohl pokračovat v surfování, aniž by vůbec postřehl, že jeho hlavní heslo už má někdo jiný a tím pádem i přístup ke všem ostatním. Vzhledem k tomu, že většinu každodenních webových služeb už používáme automaticky a máme určitou slepotu na detaily, podobný útok by byl opravdu zákeřný.

Aby si jej mohli zdatnější surfaři sami nasimulovat, Cassudy uvolnil veškerý kód na GitHubu a ozval se i autorům LastPass, kteří však svůj doplněk upravili jen velmi kosmeticky.  

Článek patří do rubrik: Web, Bezpečnost, LastPass, Phishing

20 komentářů

Nejnovější komentáře

  • Modrooky Miki , 18. 1. 2016 19:54:50
    Co takhle si zapnout 2FA? :)
  • lubos777 , 18. 1. 2016 18:27:31
    "Country Restriction" v nastaveniach môže byť užitočný. Len dúfam, že...
  • Barney93 , 18. 1. 2016 17:31:38
    Najde se jeden rozumný argument, proč svěřovat svoje hesla třetí straně?...

Určitě si přečtěte


9 internetových příspěvků, které patří k legendám: jak se oznamovaly velké věci 30 let před Facebookem

9 internetových příspěvků, které patří k legendám: jak se oznamovaly velké věci 30 let před Facebookem

** Internet, fóra a komunita tu byly dávno před příchodem WWW ** Takto legendy oznamovaly své novinky ** Takto se tehdy svět dozvídal o Windows

25.  8.  2016 | Jakub Čížek | 17

Pojďme programovat elektroniku: Vyzkoušíme ultrazvukový dálkoměr, detektor pohybu, deště a další kouzla

Pojďme programovat elektroniku: Vyzkoušíme ultrazvukový dálkoměr, detektor pohybu, deště a další kouzla

** Vyzkoušíme si senzory na pokročilých sběrnicích ** Budeme ultrazvukem měřit vzdálenost ** Detekujeme déšť i pohyb

28.  8.  2016 | Jakub Čížek | 23

Seznam spustil Porno Detektor. Pokouší se poznat holé zadky i opravdové čuňárny

Seznam spustil Porno Detektor. Pokouší se poznat holé zadky i opravdové čuňárny

** Seznam.cz testuje nový algoritmus, který odhaluje pornografické obrázky ** Rozhodování, co je a co není za hranou, není jednoznačné ** Do budoucna může technologie pomoci při filtraci obsahu ve vyhledávači

25.  8.  2016 | Jakub Čížek | 26


Aktuální číslo časopisu Computer

Testy nejnovějších produktů na českém trhu.

Informace ze světa internetu i bezpečnosti.

Plné verze programů zdarma pro všechny čtenáře.