Používáte LastPass v Chromu? Pozor na sofistikovaný phishingový útok

Používáte LastPass v Chromu? Pozor na sofistikovaný phishingový útok

Pokud používáte správce hesel LastPass, zbystřete. Bezpečnostní specialista Sean Cassidy se zaměřil na to, jak je populární doplněk pro prohlížeče zabezpečený před phishingovým podvodným útokem a zjistil, že má aplikace kritická místa ve svém návrhu.

Cassidy vytvořil webový skript, který vás nejprve odhlásí z LastPass a poté zobrazil na libovolném webu proužek s žádostí, abyste se znovu přihlásili. LastPass tak skutečně funguje a výzvy k přihlášení zobrazuje přímo na webu, kde je to potřeba. Jelikož je v tu chvíli LastPass skutečně odhlášený, vše vypadá naprosto věrohodně.

Klepněte pro větší obrázek
Pokud má LastPass problém s přihlášením, zobrazí podobnou výzvu přímo na webu, který se potřebuje přihlásit. Podobný proužek tedy může snadno zobrazit i útočník na libovolné stránce.

Po potvrzení zobrazí LastPass v případě Chromu přihlašovací dialog na interní adrese doplňku. Zde by mohl ovšem útočník použít namísto chrome-extension://xxxxx třeba chtome-extension.pw/xxxxx a doufat v to, že samotnou TLD doménu surfař přehlédne.

Jelikož LastPass nabízí webům vlastní API, útok může být dokonce ještě věrohodnější. Cassidy po zadání hlavního hesla služby tedy s pomocí API zkontroloval, jestli jsou údaje skutečně platné a pokračoval v přihlášení. A pokud údaje nebyly správné, zobrazil chybové hlášení.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Správný a falešný přihlašovací dialog doplňku LastPass. Jelikož interní stránky doplňků Chrome nijak nezvýrazňuje (třeba jako ty podepsané certifikátem v rámci HTTPS), falešný web uživatel snadno přehlédne.

Nakonec se tedy uživatel korektně přihlásil a mohl pokračovat v surfování, aniž by vůbec postřehl, že jeho hlavní heslo už má někdo jiný a tím pádem i přístup ke všem ostatním. Vzhledem k tomu, že většinu každodenních webových služeb už používáme automaticky a máme určitou slepotu na detaily, podobný útok by byl opravdu zákeřný.

Aby si jej mohli zdatnější surfaři sami nasimulovat, Cassudy uvolnil veškerý kód na GitHubu a ozval se i autorům LastPass, kteří však svůj doplněk upravili jen velmi kosmeticky.  

Témata článku: Web, Bezpečnost, Phishing, LastPass, Hlavní heslo, TLD, Bezpečnostní specialista, Webový specialista, Proužek, Sofistikovaný phishing, Podobný dialog

Určitě si přečtěte

Tesla chce změnit nákladní dopravu. Její elektrický náklaďák má ohromující parametry

Tesla chce změnit nákladní dopravu. Její elektrický náklaďák má ohromující parametry

** Tesla představila elektrický kamion ** Má obdivuhodný výkon i dojezd ** Prodávat by se měl už za dva roky

17.  11.  2017 | Vojtěch Malý | 228

Nejlepší notebooky do 10 tisíc, které si teď můžete koupit

Nejlepší notebooky do 10 tisíc, které si teď můžete koupit

** I pod hranicí desíti tisíc korun existují dobře použitelné notebooky ** Mohou plnit roli pracovního stroje i zařízení pro zábavu ** Nejlevnější použitelný notebook koupíte za pět a půl tisíce

16.  11.  2017 | Stanislav Janů | 55

Google Mapy mají nový design. Líbí se vám víc než předchozí? Tady je srovnání

Google Mapy mají nový design. Líbí se vám víc než předchozí? Tady je srovnání

** Nový design Google Map přijde na počítače i mobilní telefony. ** Zaměřuje se na zvýraznění konkrétních míst, mapové podklady jsou mnohdy upozaděné. ** Lépe pracuje s chráněnými oblastmi a parky.

20.  11.  2017 | Vladislav Kluska | 28


Aktuální číslo časopisu Computer

Otestovali jsme 5 HDR 4K televizorů

Jak natáčet video zrcadlovkou

Vytvořte si chytrou domácnost

Radíme s koupí počítačového zdroje