Erorile din extensiile de browser LastPass permit hackerilor să preia parole

Erorile din extensiile de browser LastPass permit hackerilor să preia parole

La începutul lunii, am văzut peste tot experți în securitate cibernetică în brațe cu privire la scurgerile Vault 7, unde totul, de la instrumente de hacking de către CIA, la explorarea lor de „magie meme” a fost aruncat pe WikiLeaks pentru ca lumea să o vadă.

Au trecut abia câteva săptămâni, iar luna martie continuă să fie o lună plină de acțiuni, deoarece erorile din extensiile de browser LastPass le-ar permite hackerilor să preia parole de la utilizatori nebănuși.

Bug-urile

Un bug în extensia Google Chrome a LastPass a fost descoperit de Tavis Ormandy, membru al Proiectului Zero Google, luni. Prima eroare – care permite hackerilor să scrie în cod în timp ce deturnează comunicarea computerului cu serverul la care vă conectați și să obțineți acces la parolele dvs. – poate fi găsită în acest raport care conține și codul său de dovadă a conceptului în cazul în care sunteți interesat.

Cealaltă eroare găsită de Ormandy era în extensia Firefox LastPass versiunea 3.3.2 (mai veche, dar totuși foarte populară). Permite hackerilor să execute un script universal cross-site pentru a dezvălui parola unui utilizator prin alerte.

Marți LastPass a făcut ca domeniul serviciului intern să fie responsabil pentru transferul informațiilor de autentificare să pară inexistent (de exemplu, NXDOMAIN-ing) în timp ce investigau problema, apoi au postat un anunt miercuri spunând că au rezolvat problemele din extensia Chrome.

În ceea ce privește extensia Firefox, au părăsit-o așa, deoarece ramura versiunii 3.x va fi oricum retrasă în aprilie. Pentru a fi clar, aceasta nu este o acuzație. Au spus-o deschis în anunțul lor: „Această eroare a fost raportată echipei noastre anul trecut și remediată la acel moment. Cu toate acestea, soluția nu a fost împinsă la ramura noastră veche Firefox 3.3.x; această sucursală a fost programată pentru pensionare formală în aprilie.

Ce ar trebui sa faci

Dacă utilizați serviciile LastPass, vă recomand cu tărie să vă asigurați că extensiile browserului dvs. sunt cât mai actualizate posibil. În afară de asta, nu există nicio amenințare imediată care să fie alarmată. În general, ar trebui să faceți acest lucru cu toate extensiile dvs. În mod implicit, atât Chrome, cât și Firefox vor efectua aceste actualizări pentru dvs., deci dacă ați renunțat, poate că este momentul potrivit să vă gândiți la asta.

Există o îngrijorare mai mare, deși …

lastpasshack-smartphone

Spunând acest lucru cu siguranță nu va câștiga puncte nimănui în climatul industriei tehnologice de astăzi, dar trebuie spus: comoditatea și securitatea sunt obișnuit o dihotomie. Unul dintre cei mai avizi comentatori ai noștri a făcut o declarație similară mai devreme când am raportat despre scurgerile Vault 7 ale CIA.

Pe măsură ce devenim mai intimi (de exemplu, partajarea parolelor noastre, a informațiilor noastre personale etc.) cu tehnologia pe care o folosim, oferim în mod eficient hackerilor o altă modalitate de a ne compromite. Încălcările se întâmplă deoarece avem încredere deschisă în tehnologii înainte de a ne întreba chiar dacă sunt capabile să ne protejeze de rău.

LastPass este un serviciu care face tot posibilul pentru a se asigura că utilizatorii săi pot avea încredere în parolele lor – chiar cheile existenței lor online. Dar, cu tot respectul pentru ei, trebuie să ne întrebăm: ce se întâmplă dacă într-o zi nu avem norocul ca un bug să fie reparat înainte de a fi exploatat? Ce se întâmplă dacă o problemă neprevăzută în codul aplicației permite unui hacker să pătrundă și să vadă toate informațiile dvs. în aer liber?

Intruziunile în LastPass s-au mai întâmplat, cea mai recentă fiind în 2015. După aceea, în iulie 2016, un hacker mai binevoitor a decis să dezvăluie un bug care ar putea fi exploatat catre public.

Ideea aici este că nu ar trebui să fiți niciodată mulțumiți. Sigur, multe dintre aceste exploatări sunt, desigur, puțin mai hyped decât ar trebui să fie. Dar ar trebui să fii conștient de faptul că mergi pe un teritoriu periculos de fiecare dată când dai ceva personal unui serviciu. Uneori, beneficiul depășește riscul, dar numai tu poți lua această decizie odată ce ești pe deplin informat cu privire la ce te înscrii.

Folosiți un manager de parole? Ce părere aveți despre posibilitatea ca serviciul pe care îl utilizați să experimenteze o încălcare? Spune-ne într-un comentariu!

Scroll to Top