Z LastPass bylo možné krást hesla uživatelů. Chyba už je opravena, ale nemusí být jediná

  • Oblíbený správce hesel trpěl jednoduchou, ale dost nebezpečnou chybou
  • Bezpečnostní expert před jejím zveřejněním upozornil LastPass a ten ji hned opravil
  • Mohou ale existovat další podobné chyby

Pokud používáte správce hesel, zpozorněte. Bezpečnostní výzkumník Mathias Karlsson totiž objevil celkem triviální chybu, která umožňovala získat přístupové údaje uložené v oblíbeném správci hesel LastPass. Chybu nahlásil, vysloužil si od LastPass odměnu jednoho tisíce dolarů, a po opravě o chybě publikoval zprávu.

Bezpečnostní díra spočívala v oficiálním prohlížečovém doplňku služby LastPass, který zajišťuje rychlý přístup k heslům a jejich doplnění do formulářových polí s přístupovými údaji. Doplňku se dala podvrhnout URL a následně poslal přístupové údaje k libovolnému jinému webu.

Příklad Mathias Karlsson předvedl na získání přístupových údajů k účtu na Twitteru při návštěvě úplně jiného webu. Stačilo by tedy, aby uživatel LastPass navštívil nějakou takovou podvrženou stránku a mohl by nevědomky přijít o některé přístupové údaje uložené v LastPass.

Příklad URL se zástupnými znaky @, kterými bylo možné doplněk zmást, aby poskytl přístupové údaje k Twitteru na webu švédského autora:

http://avlidienbrunn.se/@twitter.com/@hehe.php

A tato část kódu zajistí, že si doplněk prohlížeče bude myslet, že je na doméně Twitter.com a má do formuláře poslat přístupové údaje k Twitteru:

var fixedURL = URL.match(/^(.*:\/\/[^\/]+\/.*)@/);

fixedURL && (url = url.substring(0, fixedURL[1].length) + url.substring(fixedURL[1].length).replace(/@/g, "%40"));

Slabým článkem bylo v tomto případě především automatické doplňování přístupových údajů do formulářů na webových stránkách. Nezbývá než doporučit tuto pohodlnou funkcionalitu deaktivovat a vyplňovat hesla až na vyžádání, jakmile ověříte, že jste opravdu na správném webu. A samozřejmě – u důležitých účtů se hodí dvoufázová autentifikace.

V případě LasPass je tato chyba již opravena, ale Mathias Karlsson sám pochybuje, že by toto byl jediný způsob jak automatického doplňování hesel zneužít. Správce hesel přesto nezatracuje, stále jsou podle něj bezpečnější alternativou než používat jedno heslo všude.

Témata článku: Software, Web, Prohlížeče, Bezpečnost, Hacking, Heslo, Dvoufázové ověření, LastPass, Match

20 komentářů

Nejnovější komentáře

  • Petr Šrámek 30. 7. 2016 13:02:26
    Podobné služby musí dělat maximum pro bezpečnost, protože když ztratí...
  • piloponth 30. 7. 2016 11:36:44
    Je zaujimave, ze podobne hacky a security reporty som este nevidel pre...
  • umiyaki.cz 29. 7. 2016 23:11:13
    LastPass používám na různá fora a jiné nepodstatne weby. Po stestování má...
Určitě si přečtěte

Původní Starcraft: Brood War je nyní zdarma. Konec práce! Jde se pařit

Původní Starcraft: Brood War je nyní zdarma. Konec práce! Jde se pařit

** Legendární hra Starcraft je nyní k dispozici zdarma ** Chystá se i nová remasterovaná verze s hezčí grafikou

19.  4.  2017 | Jakub Čížek | 25

Brno otevřelo největší českou dílnu pro bastlíře. Kladívka, vrtačky, 3D tiskárny, laserové řezačky. Je tu vše

Brno otevřelo největší českou dílnu pro bastlíře. Kladívka, vrtačky, 3D tiskárny, laserové řezačky. Je tu vše

** Máte nápad, ale chybí vám stroje a pořádná dílna? ** Chcete postavit ptačí budku, nebo krabičku pro Arduino? ** Brno otevřelo svůj FabLab – laboratoř pro bastlíře

19.  4.  2017 | Jakub Čížek | 31

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

** Gary Kildall pochopil, že levné výpočetní čipy mohou posloužit jako univerzální počítače pro všechny ** Připravil pro ně proto první operační systém ** Později mu systém vyfoukl Microsoft a nazval ho MS DOS

Včera | Pavel Tronner | 22


Aktuální číslo časopisu Computer

První test AMD Ryzen

Velké testy: 22 powerbank a 8 bezdrátových setů

Radíme s koupí Wi-Fi routeru

Co dokáží inteligentní domy?