密码管理器LastPass的缺陷可以将控制权交给黑客
甚至密码管理器Lastpass都可以被愚弄。谷歌安全研究员已经找到了一种远程劫持软件的方法。
它通过首先将用户诱发到恶意网站来工作。然后,该站点将在Firefox浏览器的LastPass加载项中利用缺陷,并控制您对密码管理软件的控制。
LastPass在周三写下了这个漏洞,并表示Firefox用户已经出局了。
Google安全研究Tavis Ormandy首次发现了这个问题。检查密码管理器时,他周二推文,“人们真的用这个rikepass吗?我快速看,可以看到一堆明显的关键问题。我“LL尽快发送报告”。
LastPass的任何漏洞都可能对用户带来大量风险。受欢迎的软件应该安全地存储和自动填充所有密码用户的不同网站。
Ormandy是唯一的安全研究员用密码管理器找到缺陷。星期三,侦查实验室的Mathias Karsson表示,他也设法了解Lastpass - 在这种情况下,窃取用户密码。
Karlsson在博客文章中写道,他通过利用密码管理器的Chrome浏览器扩展名器中的错误来完成。
通常,LastPass浏览器扩展将密码自动填充到用户访问的某些网站。然而,卡尔斯森注意到扩展为每个网站添加了一些HTML代码。此代码旨在解析网站的地址以识别域,然后填写所需的密码。
问题是可以欺骗HTML代码。即使在不访问正确的网站时,扩展名将自动填充用户的密码。
Karlsson利用了这个错误,并创建了一个假的URL,让LastPass浏览器扩展致以思考它正在访问推特。然后,延伸将Twitter密码自动填充到网站。
黑客可以通过建立恶意网站并欺骗用户来参观这一漏洞来利用这种缺陷。然后,该网站可以秘密收集密码。
卡尔斯森报道了一年前的错误,因为LastPass的说法,问题已经修复了。它指出,这两个漏洞都需要黑客欺骗用户参观恶意网站,以便他们工作。
该公司正向用户致力于手表,以便攻击能够向宇宙建立网站发送链接。