Z LastPass bylo možné krást hesla uživatelů. Chyba už je opravena, ale nemusí být jediná

  • Oblíbený správce hesel trpěl jednoduchou, ale dost nebezpečnou chybou
  • Bezpečnostní expert před jejím zveřejněním upozornil LastPass a ten ji hned opravil
  • Mohou ale existovat další podobné chyby
Z LastPass bylo možné krást hesla uživatelů. Chyba už je opravena, ale nemusí být jediná

Pokud používáte správce hesel, zpozorněte. Bezpečnostní výzkumník Mathias Karlsson totiž objevil celkem triviální chybu, která umožňovala získat přístupové údaje uložené v oblíbeném správci hesel LastPass. Chybu nahlásil, vysloužil si od LastPass odměnu jednoho tisíce dolarů, a po opravě o chybě publikoval zprávu.

Bezpečnostní díra spočívala v oficiálním prohlížečovém doplňku služby LastPass, který zajišťuje rychlý přístup k heslům a jejich doplnění do formulářových polí s přístupovými údaji. Doplňku se dala podvrhnout URL a následně poslal přístupové údaje k libovolnému jinému webu.

Příklad Mathias Karlsson předvedl na získání přístupových údajů k účtu na Twitteru při návštěvě úplně jiného webu. Stačilo by tedy, aby uživatel LastPass navštívil nějakou takovou podvrženou stránku a mohl by nevědomky přijít o některé přístupové údaje uložené v LastPass.

Příklad URL se zástupnými znaky @, kterými bylo možné doplněk zmást, aby poskytl přístupové údaje k Twitteru na webu švédského autora:

http://avlidienbrunn.se/@twitter.com/@hehe.php

A tato část kódu zajistí, že si doplněk prohlížeče bude myslet, že je na doméně Twitter.com a má do formuláře poslat přístupové údaje k Twitteru:

var fixedURL = URL.match(/^(.*:\/\/[^\/]+\/.*)@/);

fixedURL && (url = url.substring(0, fixedURL[1].length) + url.substring(fixedURL[1].length).replace(/@/g, "%40"));

Slabým článkem bylo v tomto případě především automatické doplňování přístupových údajů do formulářů na webových stránkách. Nezbývá než doporučit tuto pohodlnou funkcionalitu deaktivovat a vyplňovat hesla až na vyžádání, jakmile ověříte, že jste opravdu na správném webu. A samozřejmě – u důležitých účtů se hodí dvoufázová autentifikace.

V případě LasPass je tato chyba již opravena, ale Mathias Karlsson sám pochybuje, že by toto byl jediný způsob jak automatického doplňování hesel zneužít. Správce hesel přesto nezatracuje, stále jsou podle něj bezpečnější alternativou než používat jedno heslo všude.

Diskuze (20) Další článek: Pamatujete na 3,5GB paměť u GTX 970? Nvidia finančně odškodní každého zákazníka

Témata článku: Software, Web, Prohlížeče, Bezpečnost, Hacking, Heslo, Dvoufázové ověření, LastPass, Phishingový útok, Bezpečnostní výzkum, Bezpečnostní výzkumník, Přístupový údaj, Chyba, Match, Automatické doplňování, Sofistikovaný phishing, Jed, Jedi, Zástupný znak


Určitě si přečtěte

Šmírovačka kamerami Googlu: Koukněte se, co nového zachytily na Street View

Šmírovačka kamerami Googlu: Koukněte se, co nového zachytily na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 42

Jak dopadl velký den Applu s náloží novinek: Sledujte, co letos připravil

Jak dopadl velký den Applu s náloží novinek: Sledujte, co letos připravil

** Apple večer představil novinky ** Ukáže nové operační systémy, ale čekala se i nová zařízení ** Začíná vývojářská konference Applu WWDC 2018

Karel Javůrek | 87

Blíží se Juno. Jeden z nejhezčích Linuxů pro normální lidi

Blíží se Juno. Jeden z nejhezčích Linuxů pro normální lidi

** Ubuntu a Fedora patří k nejpopulárnějším linuxovým OS pro desktop ** A pak je tu zástup dalších nebo jejich odvozenin ** Jedním z nich je Elementary OS, který se brzy dočká novinek

Jakub Čížek | 71

Rekordy počasí: V Česku to ještě jde, skutečné extrémy zažívají jinde

Rekordy počasí: V Česku to ještě jde, skutečné extrémy zažívají jinde

** Teplotní extrémy dokážou překvapit. Seznamte se s rekordy v Česku i ve světě ** Rekordní hodnoty jsou mnohdy až k neuvěření ** Zjistěte, kdy ke bylo největší horko, zima, déšť či vítr

Karel Kilián | 7


Aktuální číslo časopisu Computer

Kdy necháme řídit chytrá auta?

6 Wi-Fi Mesh systémů ve velkém testu

Srovnali jsme 7 sportovních kamer

Znáte pravidla pro létání s drony?