Buzz
Những nhà phát triển của trình quản lý mật khẩu LastPass đã vá một lỗ hổng có thể khiến các trang web đánh cắp thông tin đăng nhập cho tài khoản cuối cùng mà người dùng đã đăng nhập bằng tiện ích mở rộng Chrome hoặc Opera.
Lỗ hổng được phát hiện vào cuối tháng trước bởi nghiên cứu viên của Google Project Zero, Tavis Ormandy, người đã báo cáo nó một cách riêng tư cho LastPass. Trong một bài viết trở nên công khai vào Chủ Nhật, Ormandy nói rằng lỗ hổng xuất phát từ cách mà tiện ích mở rộng tạo ra cửa sổ pop-up. Trong một số tình huống, các trang web có thể tạo ra một cửa sổ pop-up bằng cách tạo một HTML iframe liên kết đến cửa sổ popupfilltab.html của Lastpass thay vì thông qua quy trình dự kiến của việc gọi một chức năng có tên là do_popupregister(). Trong một số trường hợp, phương thức không mong muốn này làm cho các cửa sổ pop-up mở với mật khẩu của trang web đã được truy cập gần đây nhất.
"Bởi vì do_popupregister() không bao giờ được gọi, ftd_get_frameparenturl() chỉ sử dụng giá trị được lưu trữ gần đây nhất trong g_popup_url_by_tabid cho tab hiện tại," Ormandy viết. "Điều đó có nghĩa là thông qua một kỹ thuật clickjacking, bạn có thể rò rỉ thông tin đăng nhập cho trang web trước đó mà người dùng đã đăng nhập cho tab hiện tại."
Clickjacking là một loại tấn công che đậy đích thực của trang web hoặc nguồn tài nguyên được hiển thị trong một liên kết web. Ở dạng phổ biến nhất, các cuộc tấn công clickjacking đặt một liên kết độc hại trong một lớp trong suốt lên trên một liên kết có vẻ vô hại. Người dùng khi nhấp vào liên kết mở trang hoặc nguồn tài nguyên độc hại thay vì cái mà có vẻ an toàn.
"Điều này sẽ khuyến nghị nếu bạn cố gắng clickjack để điền thông tin hoặc sao chép thông tin đăng nhập, vì frame_and_topdoc_has_same_domain() sẽ trả về giá trị false," Ormandy tiếp tục. "Điều này có thể được vượt qua, vì bạn có thể làm cho chúng khớp nhau bằng cách tìm một trang web sẽ iframe một trang không tin cậy."
Nhà nghiên cứu sau đó chỉ ra cách một phương thức bypass có thể hoạt động bằng cách kết hợp hai miền vào một URL duy nhất như https://translate.google.com/translate?sl=auto&tl=en&u=https://www.example.com/
Trong một loạt cập nhật, Ormandy mô tả những cách dễ dàng hơn để thực hiện cuộc tấn công. Anh ấy cũng mô tả ba điểm yếu khác mà anh ấy tìm thấy trong các tiện ích mở rộng, bao gồm: handle_hotkey() không kiểm tra sự kiện đáng tin cậy, cho phép trang web tạo ra sự kiện phím nóng tùy ý; một lỗi cho phép kẻ tấn công vô hiệu hóa một số kiểm tra bảo mật bằng cách đặt chuỗi "https://login.streetscape.com" vào mã; một hàm gọi là LP_iscrossdomainok() có thể bypass các kiểm tra bảo mật khác.
Vào thứ Sáu, LastPass đăng một bài viết nói rằng các lỗi đã được sửa và mô tả "bộ điều kiện giới hạn" cần thiết để lợi dụng những điểm yếu.
"Để lợi dụng lỗ hổng này, người dùng LastPass cần thực hiện một loạt hành động bao gồm điền mật khẩu với biểu tượng LastPass, sau đó truy cập một trang web bị đe dọa hoặc độc hại và cuối cùng bị lừa nhấp vào trang nhiều lần," đại diện của LastPass Ferenc Kun viết. "Cuộc tấn công này có thể dẫn đến việc thông tin đăng nhập cuối cùng được điền bởi LastPass bị tiết lộ. Chúng tôi nhanh chóng làm việc để phát triển một giải pháp và xác minh rằng giải pháp này là toàn diện với Tavis."
Đừng Bỏ Quên Quản Lý Mật Khẩu Của Bạn Ngay Lúc Này
Lỗ hổng này làm nổi bật nhược điểm của các trình quản lý mật khẩu, công cụ mà nhiều chuyên gia an ninh cho là quan trọng để duy trì vệ sinh an ninh tốt. Bằng cách làm cho việc tạo ra và lưu trữ một mật khẩu mạnh mẽ và duy nhất cho mỗi tài khoản trở nên dễ dàng, các trình quản lý mật khẩu cung cấp một lựa chọn quan trọng thay thế cho việc sử dụng mật khẩu lại. Trong trường hợp một cuộc tấn công mạng tiết lộ mật khẩu người dùng dưới dạng mã hóa, khả năng một người nào đó có thể giải mã hash là thấp, vì mật khẩu văn bản thuần tuý là mạnh mẽ. Ngay cả khi cuộc tấn công mạng tiết lộ mật khẩu dưới dạng văn bản thuần tuý, trình quản lý mật khẩu đảm bảo chỉ có một tài khoản bị thư mật khẩu.
Nhược điểm của trình quản lý mật khẩu là nếu hoặc khi chúng gặp sự cố, kết quả có thể là nghiêm trọng. Không phải là điều bất thường khi một số người sử dụng trình quản lý mật khẩu để lưu trữ hàng trăm mật khẩu, một số cho tài khoản ngân hàng, 401k và email. Trong trường hợp bị hack trình quản lý mật khẩu, có rủi ro rằng thông tin đăng nhập cho nhiều tài khoản có thể bị tiết lộ. Nhìn chung, tôi vẫn khuyến nghị hầu hết mọi người sử dụng trình quản lý mật khẩu trừ khi họ nghĩ ra một kỹ thuật khác để tạo ra và lưu trữ mật khẩu mạnh mẽ và duy nhất cho mỗi tài khoản.
Một cách để giảm thiểu thiệt hại có thể xảy ra trong trường hợp bị hack trình quản lý mật khẩu là sử dụng xác minh đa yếu tố mỗi khi có thể. Đến nay, WebAuthn trong toàn ngành là dạng MFA an toàn và dễ sử dụng nhất, nhưng mã một lần dựa trên thời gian được tạo ra bởi ứng dụng xác minh cũng là khá an toàn. Và bất kể lời chỉ trích mà MFA dựa trên tin nhắn SMS nhận được - với lý do đúng, by the way - ngay cả sự bảo vệ yếu ớt cũng có thể đủ để bảo vệ hầu hết mọi người khỏi việc chiếm đoạt tài khoản.
Lỗ hổng LastPass đã được sửa trong phiên bản 4.33.0. Cập nhật tiện ích mở rộng sẽ tự động cài đặt trên máy tính của người dùng, nhưng kiểm tra cũng là một ý tưởng tốt. Mặc dù LastPass nói rằng lỗi chỉ giới hạn trong trình duyệt Chrome và Opera, nhưng công ty đã triển khai cập nhật cho tất cả các trình duyệt như một biện pháp phòng ngừa.
Câu chuyện này xuất hiện ban đầu trên Ars Technica.
Những điều tuyệt vời khác từ Mytour
- Một loại thuốc cai nghiện hứa hẹn kỳ diệu - nếu nó không giết bạn trước
- Trí tuệ nhân tạo đối mặt với khủng hoảng "tính nhất quán"
- Làm thế nào những người quyên góp giàu có như Epstein (và những người khác) làm suy yếu khoa học
- Lexicon Hacker: Zero-knowledge proofs là gì?
- Những chiếc xe đạp điện tốt nhất cho mọi loại chuyến đi
- 👁 Máy học như thế nào? Ngoài ra, đọc tin tức mới nhất về trí tuệ nhân tạo
- 🏃🏽♀️ Muốn có những công cụ tốt nhất để trở nên khỏe mạnh? Hãy kiểm tra lựa chọn của đội ngũ Gear của chúng tôi cho các bộ theo dõi sức khỏe tốt nhất, trang thiết bị chạy bộ (bao gồm giày và tất chạy bộ), và tai nghe tốt nhất.
