Prohlížeče | Bezpečnost | LastPass

Z LastPass bylo možné krást hesla uživatelů. Chyba už je opravena, ale nemusí být jediná

  • Oblíbený správce hesel trpěl jednoduchou, ale dost nebezpečnou chybou
  • Bezpečnostní expert před jejím zveřejněním upozornil LastPass a ten ji hned opravil
  • Mohou ale existovat další podobné chyby
Z LastPass bylo možné krást hesla uživatelů. Chyba už je opravena, ale nemusí být jediná

Pokud používáte správce hesel, zpozorněte. Bezpečnostní výzkumník Mathias Karlsson totiž objevil celkem triviální chybu, která umožňovala získat přístupové údaje uložené v oblíbeném správci hesel LastPass. Chybu nahlásil, vysloužil si od LastPass odměnu jednoho tisíce dolarů, a po opravě o chybě publikoval zprávu.

Bezpečnostní díra spočívala v oficiálním prohlížečovém doplňku služby LastPass, který zajišťuje rychlý přístup k heslům a jejich doplnění do formulářových polí s přístupovými údaji. Doplňku se dala podvrhnout URL a následně poslal přístupové údaje k libovolnému jinému webu.

Příklad Mathias Karlsson předvedl na získání přístupových údajů k účtu na Twitteru při návštěvě úplně jiného webu. Stačilo by tedy, aby uživatel LastPass navštívil nějakou takovou podvrženou stránku a mohl by nevědomky přijít o některé přístupové údaje uložené v LastPass.

Příklad URL se zástupnými znaky @, kterými bylo možné doplněk zmást, aby poskytl přístupové údaje k Twitteru na webu švédského autora:

http://avlidienbrunn.se/@twitter.com/@hehe.php

A tato část kódu zajistí, že si doplněk prohlížeče bude myslet, že je na doméně Twitter.com a má do formuláře poslat přístupové údaje k Twitteru:

var fixedURL = URL.match(/^(.*:\/\/[^\/]+\/.*)@/);

fixedURL && (url = url.substring(0, fixedURL[1].length) + url.substring(fixedURL[1].length).replace(/@/g, "%40"));

Slabým článkem bylo v tomto případě především automatické doplňování přístupových údajů do formulářů na webových stránkách. Nezbývá než doporučit tuto pohodlnou funkcionalitu deaktivovat a vyplňovat hesla až na vyžádání, jakmile ověříte, že jste opravdu na správném webu. A samozřejmě – u důležitých účtů se hodí dvoufázová autentifikace.

V případě LasPass je tato chyba již opravena, ale Mathias Karlsson sám pochybuje, že by toto byl jediný způsob jak automatického doplňování hesel zneužít. Správce hesel přesto nezatracuje, stále jsou podle něj bezpečnější alternativou než používat jedno heslo všude.

Diskuze (20) Další článek: Pamatujete na 3,5GB paměť u GTX 970? Nvidia finančně odškodní každého zákazníka

Témata článku: Software, Web, Prohlížeče, Bezpečnost, Hacking, Heslo, Dvoufázové ověření, LastPass, Bezpečnostní výzkum, Phishingový útok, Automatické doplňování, NEM, Chyba, Match, Jed, Zástupný znak, Přístupový údaj, Sofistikovaný phishing, Jedi, Bezpečnostní výzkumník


Určitě si přečtěte

Užitečné funkce ve Windows 10, o kterých možná ani nevíte

Užitečné funkce ve Windows 10, o kterých možná ani nevíte

** Operační systém Windows 10 nabízí spoustu užitečných drobností ** O některých funkcích mnoho uživatelů není ** Ukážeme vám některé užitečné vychytávky

Vladislav Kluska | 83

Nejlepší hardware: Skládáme nenáročnou sestavu i extrém na hry

Nejlepší hardware: Skládáme nenáročnou sestavu i extrém na hry

** Poradíme, jaký se teď vyplatí koupit hardware ** Procesory, desky, paměti, grafické karty... je z čeho vybírat ** Počítač ale nemusíte skládat, ukážeme i výhodné hotové počítače

Stanislav Janů | 7

Moral machine: Už víme, zdali je lepší zabít psy, sebe nebo matky na přechodu

Moral machine: Už víme, zdali je lepší zabít psy, sebe nebo matky na přechodu

** Jak byste se sami vypořádali s tramavajovým dilematem? ** Vědci před lety spustili globální dotazník ** Nyní se pochlubili s výsledky

Jakub Čížek | 150

Živě z Pekingu: Otestovali jsme Velký čínský firewall a hledali dalajlámu

Živě z Pekingu: Otestovali jsme Velký čínský firewall a hledali dalajlámu

** O Velkém čínském firewallu toho byly napsány už stohy ** Vyzkoušíte jej ale až na místě ** A tak jsme vyrazili do Pekingu a začali hledat dalajlámu

Jakub Čížek, Antonín Trčálek | 60

Nejlepší notebooky do 20 000 Kč: Tipy, co se teď vyplatí koupit

Nejlepší notebooky do 20 000 Kč: Tipy, co se teď vyplatí koupit

** Za dvacet tisíc korun lze pořídit kvalitní pracovní notebook ** Stejně tak může jít o herní notebook s výkonnější grafikou ** Poradíme, jaké notebooky vybrat pro různé druhy použití

Stanislav Janů | 48



Aktuální číslo časopisu Computer

Nejlepší programy pro úpravu fotek zdarma

Externí disky pro zálohu dat

Velký test: herní notebooky

Srovnání 12 batohů