Szerző: Hlács Ferenc

2019. szeptember 17. 09:45:00

Jelszólopást is engedő bugot foltozott a LastPass

Az Opera és Chrome kiegészítőkben lévő hiba a legutóbb használt jelszavakat sodorta veszélybe. A hibát a Google Project Zero szakértője jelezte a cég felé.

Súlyos, akár jelszólopást is lehetővé tevő biztonsági hibát javított a Lastpass fejlesztőcsapata, a népszerű jelszókezelő Chrome és Opera böngészőkhöz szánt kiegészítőiben. A hibát augusztusban a Google Project Zero biztonsági szakértője Tavis Ormandy fedezte fel, majd jelezte azt a vállalat felé.

Mint a kutató kiderítette, a kiegészítőknél a felugró ablakok létrehozásához hagyományosan használt do_popupregister() nevű függvény helyett lehetőség van egy iframe-ben a popupfilltab.html megnyitására is. Miután a fenti függvényt az oldal nem hívja meg, ezért a felugró ablak tartalmáért felelős ftd_get_frameparenturl() névre keresztelt függvény az utolsó cach-elt értéket használja,  ami pedig a legutóbb használt bejelentkezési adatokat is tartalmazhatja. Ez a sebezhetőség a clickjacking támadásokra tette különösen érzékennyé a jelszókezelőt, hiszen egy jól álcázott, ártatlannak tűnő hivatkozással potenciális támadók aránylag könnyen rávehették (volna) a felhasználókat, hogy legutóbbi bejelentkezéseik információit kiszivárogtassák.

lastpill

A jelzett sebezhetőséget a LastPass csapata tehát javította - az Ormandy által felfedezett további bugokkal együtt. Ugyanis ahogy az Ars Technica is kiemeli, a szakértő további gyenge pontokat is talált az említett kiegészítőkön, még ha nem is a fentihez hasonlóan súlyos sebezhetőségekről van szó. A kutató szerint a handle_hotkey() függvény megfelelő ellenőrzésének hiányában például a weboldalak tetszőleges billentyűkombináció-eseményeket generálhattak, két további bug pedig több biztonsági ellenőrzés megkerülését is lehetővé tette.

A LastPass az ügy kapcsán közzétett blogposztjában siet hangsúlyozni, hogy a Project Zero kutatója által felfedezett sérülékenység csak bizonyos esetekben használható ki, és hogy a rosszindulatú oldalaknak számos kattintásra rá kell venniük a felhasználót, mielőtt potenciálisan hozzáférhetnének adataihoz. A poszt szerint a jelszókezelő csapata a bejelentést követően gyorsan javította a sérülékenységet, a frissítést pedig biztos ami biztos a Chrome és Opera mellett minden további támogatott böngészőhöz kiadta. A felhasználóknak tehát semmilyen teendőjük nincs az ügy kapcsán.

A cég mindenesetre igyekszik még egyszer emlékeztetni mindenkit az online biztonsággal kapcsolatos bevált gyakorlatokra, mint a többlépcsős azonosítás bekapcsolása mind a LastPass, mind pedig az összes többi online szolgáltatás esetében. A vállalat arra is figyelmeztet, hogy minden online fiókhoz alkalmazzanak különböző jelszót a felhasználók - LastPass jelszavukra pedig különösen figyeljenek oda, hogy azt máshol semmi esetre se használják.

a címlapról