Z LastPass bylo možné krást hesla uživatelů. Chyba už je opravena, ale nemusí být jediná

  • Oblíbený správce hesel trpěl jednoduchou, ale dost nebezpečnou chybou
  • Bezpečnostní expert před jejím zveřejněním upozornil LastPass a ten ji hned opravil
  • Mohou ale existovat další podobné chyby

Pokud používáte správce hesel, zpozorněte. Bezpečnostní výzkumník Mathias Karlsson totiž objevil celkem triviální chybu, která umožňovala získat přístupové údaje uložené v oblíbeném správci hesel LastPass. Chybu nahlásil, vysloužil si od LastPass odměnu jednoho tisíce dolarů, a po opravě o chybě publikoval zprávu.

Bezpečnostní díra spočívala v oficiálním prohlížečovém doplňku služby LastPass, který zajišťuje rychlý přístup k heslům a jejich doplnění do formulářových polí s přístupovými údaji. Doplňku se dala podvrhnout URL a následně poslal přístupové údaje k libovolnému jinému webu.

Příklad Mathias Karlsson předvedl na získání přístupových údajů k účtu na Twitteru při návštěvě úplně jiného webu. Stačilo by tedy, aby uživatel LastPass navštívil nějakou takovou podvrženou stránku a mohl by nevědomky přijít o některé přístupové údaje uložené v LastPass.

Příklad URL se zástupnými znaky @, kterými bylo možné doplněk zmást, aby poskytl přístupové údaje k Twitteru na webu švédského autora:

http://avlidienbrunn.se/@twitter.com/@hehe.php

A tato část kódu zajistí, že si doplněk prohlížeče bude myslet, že je na doméně Twitter.com a má do formuláře poslat přístupové údaje k Twitteru:

var fixedURL = URL.match(/^(.*:\/\/[^\/]+\/.*)@/);

fixedURL && (url = url.substring(0, fixedURL[1].length) + url.substring(fixedURL[1].length).replace(/@/g, "%40"));

Slabým článkem bylo v tomto případě především automatické doplňování přístupových údajů do formulářů na webových stránkách. Nezbývá než doporučit tuto pohodlnou funkcionalitu deaktivovat a vyplňovat hesla až na vyžádání, jakmile ověříte, že jste opravdu na správném webu. A samozřejmě – u důležitých účtů se hodí dvoufázová autentifikace.

V případě LasPass je tato chyba již opravena, ale Mathias Karlsson sám pochybuje, že by toto byl jediný způsob jak automatického doplňování hesel zneužít. Správce hesel přesto nezatracuje, stále jsou podle něj bezpečnější alternativou než používat jedno heslo všude.

Témata článku: Software, Web, Prohlížeče, Bezpečnost, Hacking, Heslo, Dvoufázové ověření, LastPass, Match

20 komentářů

Nejnovější komentáře

  • Petr Šrámek 30. 7. 2016 13:02:26
    Podobné služby musí dělat maximum pro bezpečnost, protože když ztratí...
  • piloponth 30. 7. 2016 11:36:44
    Je zaujimave, ze podobne hacky a security reporty som este nevidel pre...
  • umiyaki.cz 29. 7. 2016 23:11:13
    LastPass používám na různá fora a jiné nepodstatne weby. Po stestování má...
Určitě si přečtěte

Nebuďte jako Emma Watson. Poradíme, jak nepřijít o hanbaté fotky

Nebuďte jako Emma Watson. Poradíme, jak nepřijít o hanbaté fotky

** Pokud už choulostivé snímky vyfotíte, dbejte na jejich zabezpečení ** Útočníci je nejčastěji získají z cloudového úložiště ** Pozor si dejte i na phishing a řádné zabezpečení telefonu

Včera | Stanislav Janů | 44

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie

** Do Vancouveru se sjeli hackeři ** Soutěžili v útocích na prohlížeče ** Chrome odolal, ale Edge to projel na celé čáře

22.  3.  2017 | Jakub Čížek | 79

Obří Mechroboti jsou realitou, měří čtyři metry a mají hmotnost přes 1,5 tuny

Obří Mechroboti jsou realitou, měří čtyři metry a mají hmotnost přes 1,5 tuny

** Jihokorejská společnost Hankook Mirae Technology vyrábí obří Mechroboty ** Jsou určené pro ovládání člověkem uvnitř ** V prodeji se objeví koncem tohoto roku za 200 milionů korun

20.  3.  2017 | Karel Javůrek | 18


Aktuální číslo časopisu Computer

Supertéma o počítačové bezpečnosti

AMD Ryzen přichází

Velké testy kinoprojektorů a levných sluchátek

Příslušenství do USB-C