19.01.2016

Phishingový útok na LastPass dá útočníkům přístup ke všem vašim heslům

Přestože jsou password manažery skvělými pomocníky, jejichž používání snižuje riziko, že se naše hesla dostanou do cizích rukou, malá chyba na jejich straně kombinovaná se šikovným sociálním inženýrstvím může napáchat hodně škody. Především u cloudových úložišť typu LastPass.

Lastpass

Bezpečnostní výzkumník Sean Cassidy vyvinul nový phishingový útok na LastPass, který mu v případě úspěchu zajistí přístup ke všem heslům napadeného uživatele, kterého už nezachrání ani dvoufázové ověření.

Jak může být uživatel obalamutěn, aby útočníkovi vydal své heslo i kód dvoufázového ověření ukázal Cassidy na hackerské konferenci ShmooCon ve Washingtonu D.C.

Útok nejprve naláká svou oběť k návštěvě zákeřné stránky, na níž běží javascriptový kód, který generuje notifikace v prohlížeči oznamující odhlášení se z LastPassu. Zpráva je identická s legitimní zprávou od LastPassu a oběť přesměruje na falešnou přihlašovací obrazovku, kam obelhaný uživatel zadá své master heslo a případně i kód dvoufázového ověření. Poté jsou přesměrovány na web kontrolovaný útočníkem, který může zpřístupnit API LastPassu a použít tyto údaje ke stažení a dešifrování celého trezoru s hesly.

Podle Cassidyho je to možné protože je LastPass zranitelný proti Cross-site Request Forgery , což znamená, že jakýkoliv web může poslat upozornění na odhlášení z aplikace.

Společnost společně s Cassidym pracuje na vyřešení problému, ale chybu na své straně se jí přiznat nechce. Společnost však útok označuje za phishing a nikoliv zranitelnost v aplikaci samotné.

Více na motherboard.vice.com

Kam dál?