Prohlížeče | Bezpečnost | LastPass

Z LastPass bylo možné krást hesla uživatelů. Chyba už je opravena, ale nemusí být jediná

  • Oblíbený správce hesel trpěl jednoduchou, ale dost nebezpečnou chybou
  • Bezpečnostní expert před jejím zveřejněním upozornil LastPass a ten ji hned opravil
  • Mohou ale existovat další podobné chyby
Z LastPass bylo možné krást hesla uživatelů. Chyba už je opravena, ale nemusí být jediná

Pokud používáte správce hesel, zpozorněte. Bezpečnostní výzkumník Mathias Karlsson totiž objevil celkem triviální chybu, která umožňovala získat přístupové údaje uložené v oblíbeném správci hesel LastPass. Chybu nahlásil, vysloužil si od LastPass odměnu jednoho tisíce dolarů, a po opravě o chybě publikoval zprávu.

Bezpečnostní díra spočívala v oficiálním prohlížečovém doplňku služby LastPass, který zajišťuje rychlý přístup k heslům a jejich doplnění do formulářových polí s přístupovými údaji. Doplňku se dala podvrhnout URL a následně poslal přístupové údaje k libovolnému jinému webu.

Příklad Mathias Karlsson předvedl na získání přístupových údajů k účtu na Twitteru při návštěvě úplně jiného webu. Stačilo by tedy, aby uživatel LastPass navštívil nějakou takovou podvrženou stránku a mohl by nevědomky přijít o některé přístupové údaje uložené v LastPass.

Příklad URL se zástupnými znaky @, kterými bylo možné doplněk zmást, aby poskytl přístupové údaje k Twitteru na webu švédského autora:

http://avlidienbrunn.se/@twitter.com/@hehe.php

A tato část kódu zajistí, že si doplněk prohlížeče bude myslet, že je na doméně Twitter.com a má do formuláře poslat přístupové údaje k Twitteru:

var fixedURL = URL.match(/^(.*:\/\/[^\/]+\/.*)@/);

fixedURL && (url = url.substring(0, fixedURL[1].length) + url.substring(fixedURL[1].length).replace(/@/g, "%40"));

Slabým článkem bylo v tomto případě především automatické doplňování přístupových údajů do formulářů na webových stránkách. Nezbývá než doporučit tuto pohodlnou funkcionalitu deaktivovat a vyplňovat hesla až na vyžádání, jakmile ověříte, že jste opravdu na správném webu. A samozřejmě – u důležitých účtů se hodí dvoufázová autentifikace.

V případě LasPass je tato chyba již opravena, ale Mathias Karlsson sám pochybuje, že by toto byl jediný způsob jak automatického doplňování hesel zneužít. Správce hesel přesto nezatracuje, stále jsou podle něj bezpečnější alternativou než používat jedno heslo všude.

Diskuze (20) Další článek: Pamatujete na 3,5GB paměť u GTX 970? Nvidia finančně odškodní každého zákazníka

Témata článku: Software, Web, Prohlížeče, Bezpečnost, Hacking, Heslo, LastPass, Dvoufázové ověření, Automatické doplňování, Jedi, Bezpečnostní výzkum, NEM, Phishingový útok, Jed, Chyba, Zástupný znak, Přístupový údaj, Sofistikovaný phishing, Match, Mathias, Hesl, Bezpečnostní výzkumník


Určitě si přečtěte

Teď už Chromium ovládne Windows 10 úplně. Microsoft dokončil WebView2

Teď už Chromium ovládne Windows 10 úplně. Microsoft dokončil WebView2

** Před dvěma lety se Microsoft zasnoubil s Chromem ** Nový Edge není zdaleka jejich jediné dítě ** Ještě důležitější je komponenta WebView2

Jakub Čížek | 45

Internet poslední naděje. Kdo má nejlepší tarif „LTE na doma“?

Internet poslední naděje. Kdo má nejlepší tarif „LTE na doma“?

** Srovnali jsme fixní LTE připojení od tuzemských operátorů ** Liší se rychlostmi, cenou i podmínkami ** Na co všechno dát pozor?

Lukáš Václavík | 35

20 let nám vědci slibují revoluční baterie, ale revoluce se pořád nekoná

20 let nám vědci slibují revoluční baterie, ale revoluce se pořád nekoná

** Technologie baterií se stále zlepšuje, ale žádné revoluce se nekonají ** Nejpopulárnějším typem baterií je Li-ion ** Efektivní baterie se stávají důležitější s příchodem elektromobilů

Karel Javůrek | 101

Filmové pirátství asi jen tak nezmizí. Když už musíte, stahujte bezpečně v Seedru

Filmové pirátství asi jen tak nezmizí. Když už musíte, stahujte bezpečně v Seedru

** Máme HBO Go, máme Netflix... ** Ale stejně krademe filmy a seriály ** Když už musíte, stahujte torrenty bezpečně v Seedru

Jakub Čížek | 141

ATM jackpotting: Když hacker ovládne bankomat a stačí mu jen pár sekund

ATM jackpotting: Když hacker ovládne bankomat a stačí mu jen pár sekund

** Klasický malware pro PC už dnes nikoho nepřekvapí ** Bankomaty jsou ale také počítače ** Útočí se na ně dodnes

Jakub Čížek | 8

Jak se šíří Covid v Česku: Čerstvá data, mapy okresů a obcí. Každý den aktualizované grafy

Jak se šíří Covid v Česku: Čerstvá data, mapy okresů a obcí. Každý den aktualizované grafy

** Vývoj COVID-19 v Česku: nakažení, úmrtí, testovaní, hospitalizovaní ** Mapa podle okresů, přehled podle věku, situace v Evropě i ve světě ** Každý den aktualizované grafy a mapy

Marek Lutonský | 162

Otestovali jsme 8 mobilů do 8 000 Kč: rozdíly ve výkonu jsou ohromné

Otestovali jsme 8 mobilů do 8 000 Kč: rozdíly ve výkonu jsou ohromné

** Mobil za 8 000 Kč uspokojí většinu uživatelů ** Klasické foťáky stačí, širokáče ale zklamaly ** Zásadní jsou rozdíly ve výkonu

Časopis Computer | 4


Aktuální číslo časopisu Computer

Megatest televizí do 25 000 Kč

Nejlepší herní klávesnice

Srovnání správců hesel

Jak upravit fotky pro tisk