Používáte LastPass v Chromu? Pozor na sofistikovaný phishingový útok

Používáte LastPass v Chromu? Pozor na sofistikovaný phishingový útok

Pokud používáte správce hesel LastPass, zbystřete. Bezpečnostní specialista Sean Cassidy se zaměřil na to, jak je populární doplněk pro prohlížeče zabezpečený před phishingovým podvodným útokem a zjistil, že má aplikace kritická místa ve svém návrhu.

Cassidy vytvořil webový skript, který vás nejprve odhlásí z LastPass a poté zobrazil na libovolném webu proužek s žádostí, abyste se znovu přihlásili. LastPass tak skutečně funguje a výzvy k přihlášení zobrazuje přímo na webu, kde je to potřeba. Jelikož je v tu chvíli LastPass skutečně odhlášený, vše vypadá naprosto věrohodně.

Klepněte pro větší obrázek
Pokud má LastPass problém s přihlášením, zobrazí podobnou výzvu přímo na webu, který se potřebuje přihlásit. Podobný proužek tedy může snadno zobrazit i útočník na libovolné stránce.

Po potvrzení zobrazí LastPass v případě Chromu přihlašovací dialog na interní adrese doplňku. Zde by mohl ovšem útočník použít namísto chrome-extension://xxxxx třeba chtome-extension.pw/xxxxx a doufat v to, že samotnou TLD doménu surfař přehlédne.

Jelikož LastPass nabízí webům vlastní API, útok může být dokonce ještě věrohodnější. Cassidy po zadání hlavního hesla služby tedy s pomocí API zkontroloval, jestli jsou údaje skutečně platné a pokračoval v přihlášení. A pokud údaje nebyly správné, zobrazil chybové hlášení.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Správný a falešný přihlašovací dialog doplňku LastPass. Jelikož interní stránky doplňků Chrome nijak nezvýrazňuje (třeba jako ty podepsané certifikátem v rámci HTTPS), falešný web uživatel snadno přehlédne.

Nakonec se tedy uživatel korektně přihlásil a mohl pokračovat v surfování, aniž by vůbec postřehl, že jeho hlavní heslo už má někdo jiný a tím pádem i přístup ke všem ostatním. Vzhledem k tomu, že většinu každodenních webových služeb už používáme automaticky a máme určitou slepotu na detaily, podobný útok by byl opravdu zákeřný.

Aby si jej mohli zdatnější surfaři sami nasimulovat, Cassudy uvolnil veškerý kód na GitHubu a ozval se i autorům LastPass, kteří však svůj doplněk upravili jen velmi kosmeticky.  

Témata článku: Web, Bezpečnost, Phishing, LastPass

20 komentářů

Nejnovější komentáře

  • Modrooky Miki 18. 1. 2016 19:54:50
    Co takhle si zapnout 2FA? :)
  • lubos777 18. 1. 2016 18:27:31
    "Country Restriction" v nastaveniach môže byť užitočný. Len dúfam, že...
  • Barney93 18. 1. 2016 17:31:38
    Najde se jeden rozumný argument, proč svěřovat svoje hesla třetí straně?...
Určitě si přečtěte

Pojďme programovat elektroniku: Postavíme si titěrnou Wi-Fi meteostanici s lepším teploměrem než Netatmo

Pojďme programovat elektroniku: Postavíme si titěrnou Wi-Fi meteostanici s lepším teploměrem než Netatmo

** Dnes se podíváme na maličkou Wi-Fi destičku Wemos D1 mini ** A připojíme k ní barometrický a teplotní shield ** Poběží na ní web a nabídne i JSON API

18.  6.  2017 | Jakub Čížek | 28

Jak vybrat monitor k počítači: nenechte se zlákat nepodstatnými parametry

Jak vybrat monitor k počítači: nenechte se zlákat nepodstatnými parametry

** Na jaké parametry se zaměřit a kde vás výrobci chtějí nachytat ** Monitory se stále více specifikují pro konkrétní určení ** Náročný hráč nebo profesionální grafik mají různé požadavky

20.  6.  2017 | Tomáš Holčík | 31

Dlouhodobý test HTC Vive: co vám recenze o virtuální realitě neřeknou

Dlouhodobý test HTC Vive: co vám recenze o virtuální realitě neřeknou

** Ani hry se sebelepší grafikou vás nevtáhnou tolik, jako ve virtuální realitě ** Pro sledování filmů není VR ani zdaleka ideální ** I první generace je skvělá, stále však působí jako prototyp

20.  6.  2017 | Stanislav Janů | 22

Jak unikají informace o nových iPhonech? Třeba podprsenkami čínských pracovnic

Jak unikají informace o nových iPhonech? Třeba podprsenkami čínských pracovnic

** Na černém trhu mohou zaměstnanci továren za kradené součástky inkasovat částku ve výši ročního platu ** Velké množství informací je vyneseno i z centrály Applu ** Díly jsou pašovány v botách, podprsenkách i odpadem

21.  6.  2017 | Stanislav Janů | 22


Aktuální číslo časopisu Computer

Bojujeme proti Fake News

Dva velké testy: fotoaparáty a NASy

Co musíte vědět o změně evropského roamingu

Radíme s výběrem základní desky