Грешки в разширенията на браузъра LastPass позволяват на хакерите да вземат пароли
В началото на месеца видяхме експерти по киберсигурността навсякъде в ръцете относно изтичането на Vault 7, където всичко от хакерски инструменти на ЦРУ до тяхното изследване на "магическата магия" беше изхвърлено на WikiLeaks, за да види света.
Около няколко седмици са изтекли, а март продължава да е месец, тъй като бъгове в разширенията на браузъра на LastPass биха позволили на хакерите да хванат пароли от нищо неподозиращите потребители.
Бъгс
Грешка в разширението Google Chrome на LastPass бе открита в понеделник от Tavis Ormandy, член на Project Zero на Google. Първата грешка - която позволява на хакерите да пишат в кода, докато отвличат комуникацията на компютъра ви със сървъра, в който влизате и получавате достъп до паролите си - може да бъде намерен в този отчет, който също съдържа своя код за доказателство за концепция, отново се интересувам.
Другата грешка, намерена от Ormandy, беше в разширението Firefox за разширение 3.3.2 на LastPass (по-стара, но все още много популярна). Тя позволява на хакерите да изпълняват универсален скрипт за различни сайтове, за да разкрият паролата на потребителя чрез сигнали.
Във вторник LastPass направи вътрешния служебен домейн, отговорен за прехвърлянето на информацията за удостоверяване, несъществуващ (например NXDOMAIN-ing), докато разследва проблема, след което публикува съобщение в сряда, заявявайки, че те са решили проблемите в разширението за Chrome.
Що се отнася до разширението на Firefox, те го напуснаха, тъй като от 3.x версията на клона ще бъде пенсионирана през април така или иначе. За да бъде ясно, това не е обвинение. Те заявиха открито в съобщението си: " Тази грешка бе съобщена на нашия екип миналата година и по това време беше поправена. Обаче оправянето не беше отблъснато до нашия наследствен браузър Firefox 3.3.x; този клон е насрочен за официално пенсиониране през април. "
Какво трябва да направите
Ако използвате услугите на LastPass, настоятелно препоръчвам да сте сигурни, че разширенията на браузъра ви са възможно най-актуални. Освен това, няма непосредствена заплаха да се тревожим. По принцип трябва да направите това с всичките си разширения. По подразбиране и Chrome, и Firefox ще изпълняват тези актуализации за вас, затова ако сте се отказали, може би сега е подходящо време да направите тази втора мисъл.
Има по-голяма загриженост, макар че ...
Казвайки това, със сигурност няма да спечелят никого точки в днешния климат на техническата индустрия, но трябва да се каже: удобството и сигурността обикновено са дихотомия. Един от нашите най-запалените коментатори направи подобно изявление по-рано, когато съобщихме за изтичанията на CIA Vault 7.
Тъй като ставаме по-интимни (например споделяме паролите, нашата лична информация и т.н.) с технологията, която използваме, ние ефективно даваме на хакерите още един начин да ни компрометираме. Нарушенията се случват, защото открито се доверяваме на технологиите, преди да се запитаме дали са способни да ни предпазят от вреди.
LastPass е услуга, която прави всичко възможно, за да се увери, че потребителите й могат да се доверят на това с паролите си - ключовете за тяхното онлайн съществуване. Но с цялото им уважение, трябва да се запитаме: какво ще стане, ако един ден нямаме достатъчно късмет, за да може да се залепи грешка, преди да бъде експлоатирана? Ами ако един неочакван проблем в кода на приложението позволява на хакера да се вмъкне и да види цялата информация на открито?
Навлизането в LastPass се е случило преди, като последният е през 2015 г. След това през юли 2016 г. по-благосклонен хакер реши да разкрие бъг, който може да бъде използван за обществото.
Идеята тук е, че никога не трябва да се задоволявате. Разбира се, много от тези злоупотреби са допуснати малко по-сложни, отколкото би трябвало да бъдат. Но трябва да сте наясно с факта, че се движите на опасна територия всеки път, когато давате нещо лично на услуга. Понякога ползата превишава риска, но само вие можете да направите това определение, след като сте напълно информирани за това, за което се регистрирате.
Използвате ли мениджър на пароли? Как се чувствате за възможността услугата, която използвате, да претърпи нарушение? Кажете ни в коментар!