В LastPass выявлен ряд уязвимостей, включая 0-day баг, компрометирующий пароли

«Люди правда пользуются этой LastPass штукой? Я лишь бегло взглянул и сразу обнаружил несколько очевидно критических проблем», — написал в Twitter специалист Google Project Zero Тэвис Орманди (Tavis Ormandy). В частности, эксперт обнаружил в менеджере паролей 0-day уязвимость, которая позволяет удаленно скомпрометировать все пароли пользователя. Как выяснилось чуть позже, уязвимость была обнаружена в аддоне LastPass для Firefox.

Are people really using this lastpass thing? I took a quick look and can see a bunch of obvious critical problems. I'll send a report asap.

— Tavis Ormandy (@taviso) July 26, 2016

Тэвис Орманди, как обычно, не скупился на эмоции, когда вчера, 27 июля 2016 года, писал в Twitter о найденных проблемах. Искренне удивившись тому, как люди вообще пользуются LastPass, эксперт направил разработчикам менеджера паролей сообщение с описанием проблемы. Орманди объяснил, что именно он обнаружил, лишь сегодня, 28 июля 2016 года, дождавшись, когда в LastPass исправят уязвимость.

Как оказалось, проблема затрагивала пользователей аддона для браузера Firefox. Злоумышленнику было достаточно заманить пользователя LastPass на вредоносный сайт, чтобы скомпрометировать менеджер паролей и заставить его выполнять в фоновом режиме различные действия, без ведома пользователя. Орманди уже обнародовал подробное описание проблемы на chromium.org. Кроме того, в будущем эксперт пообещал проверить работу 1Password.

Full report sent to LastPass, they're working on it now. Yes, it's a complete remote compromise. Yes, I promise I'll look at 1Password.

— Tavis Ormandy (@taviso) July 27, 2016

Также разработчики менеджера паролей сообщили о закрытии еще одной уязвимости, найденной Матиасом Карлссоном (Mathias Karlsson) из компании Detectify. Исследователь обнаружил, что LastPass можно перехитрить и вытянуть из него учетные данные других сайтов. Для этого жертва должна перейти по ссылке вида attacker-site.com/@twitter.com/@script.php, и парсер LastPass будет убежден, что работает с twitter.com, а не attacker-site.com. Так как приложение поддерживает функцию автозаполнения полей с учетными данными, в любую форму на такой вредоносной странице будут вставлены настоящие логин и пароль пользователя. Если злоумышленник использует простой JavaScript, чтобы автоматически парсить и сохранять любые данные, введенные в авторизационную форму, его ждет хороший урожай чужих учетных данных.

Стоит сказать, что это далеко не первый случай, когда в LastPass находят серьезные проблемы. Так, осенью 2015 года, исследователи Альберто Гарсия Иллера (Alberto Garcia Illera) и Мартин Виго (Martin Vigo) из компании Salesforce рассказали на конференции Black Hat Europe о том, что LastPass содержит кучу уязвимостей.

Позже, в январе 2016 года, независимый исследователь Шон Кессиди (Sean Cassidy) и вовсе нашел способ скомпрометировать мастер-пароль приложения.

Также прошлым летом разработчики LastPass признали, что компания подверглась атаке хакеров и злоумышленники похитили данные пользователей, включая зашифрованные мастер-пароли. Хотя тогда разработчики уверяли, что их шифрование выстоит и волноваться не стоит, они все же попросили всех пользователей поменять пароли. Дело в том, что напряду с остальной информацией, атакующие получили доступ к соли и хешам мастер-паролей.

Фото: Shutterstock