22.08.2016

Školácká zranitelnost v populárním správci hesel LastPass

Nikdo není neomylný. Výjimečně se však podaří přehlédnout chybku natolik základní, že se za ni musí každý zkušenější programátor stydět. Zvláště, pokud se jedná o kus kódu, který má za úkol střežit vaše nejcennější tajemství.

Cover

Švédský penetrační tester Mathias Karlsson jednu takovou našel v populárním softwaru pro správu hesel LastPass, konkrétně v doplňku pro webové prohlížeče. Chyba je pikantní v tom, že ji není těžké popsat nebo vysvětlit, ale je jednoduché ji přehlédnout. Týká se ručního parsování URL adresy v adresním řádku dané webové stránky, ze které pak doplněk určí, která hesla má na dané stránce předvyplnit. Konkrétní zranitelný kus javascriptového kódu je následující:

Jak zmiňuje Mathias i jiní, ruční parsování regulárním výrazem je vždy potenciálně nebezpečné. V tomto případě stačí vytvořit škodlivou stránku s následující URL adresou:

https://www.s3c.cz/@facebook.com/@test.php

Několikanásobný výskyt znaku @ poté způsobí, že webový prohlížeč bude stále na stránce s3c.cz, avšak doplněk ji bude považovat za facebook.com. Pokud je dále v doplňku nastaveno automatické vyplňování přihlašovacích údajů, pak stačí pouhé navštívení takovéto nebezpečné stránky a doplněk LastPass ochotně odevzdá stránce uložené přihlašovací údaje k vašemu účtu na Facebooku.

Nedávno bylo vydáno také oficiální prohlášení společnosti LastPass o objevení této zranitelnosti. Samotná zranitelnost však byla objevena již před více než rokem a opravena již ve verzi 3.2.16 v červenci 2015, pokud tedy máte svého správce hesel aktualizovaného v nejnovější verzi, žádné nebezpeční vám nehrozí.

Více na labs.detectify.com

Kam dál?