LastPass و سرقت تمامی کلمات عبور کاربران

یک آسیب‌پذیری روز-صفرم در برنامه مدیریت گذرواژه‌ی ابری معروف LastPass کشف‌ شده است که به هر مهاجم راه دور اجازه می‌دهد از حساب کاربران سوءاستفاده کند.
برنامه LastPass یک برنامه مدیریت گذرواژه است که به‌صورت افزونه مرورگر نیز وجود دارد و می‌تواند اعتبارات را به‌طور خودکار برای کاربر وارد نماید.
تنها کاری که کاربر باید انجام دهد این است که یک گذرواژه اصلی را به ذهن بسپارد؛ این گذرواژه تمامی کلمات عبور حساب‌های اینترنتی مختلف را قفل می‌کند و امکان استفاده از کلمات عبور منحصربه‌فرد برای وب‌گاه‌های مختلف را آسان‌تر می‌کند.
اما این برنامه مدیریت گذرواژه آن‌طور که ادعا می‌کند ایمن نیست.
پژوهش‌گر پروژه Zero گوگل، تاویس اورماندی چندین حفره امنیتی در این نرم‌افزار شناسایی کرده است که به وی اجازه می‌دهد کلمات عبور ذخیره‌ شده با LastPass را به سرقت ببرد.
اورماندی در توییتر نوشت: «آیا واقعاً مردم از LastPass استفاده می‌کنند؟ با نگاهی که به این برنامه انداختم، دسته‌ای از حفره‌های بحرانی در آن پیدا کردم و گزارشی از آن نیز منتشر خواهم کرد».
نفوذگر با رخنه به‌حساب LastPass یک قربانی، می‌تواند به دیگر کلمات عبور خدمات و وب‌گاه‌های اینترنتی متعلق به قربانی نیز دسترسی یابد.
چون LastPass در حال کار بر روی وصله این حفره‌هاست، جزئیات فنی این خطاها و آسیب‌پذیری‌ها منتشر نشده است.

حفره قدیمی مشابهی در برنامه مدیریت گذرواژه LastPass:
به‌طور تصادفی محقق امنیتی دیگری به نام متیاس کارلسان نیز اطلاع داد که چند حفره در نرم‌افزار LastPass کشف کرده است که در حال حاضر توسط این شرکت وصله شده‌اند.
به گفته این محقق یک URL مخصوص برای به دست گرفتن کنترل کامل حساب‌های کاربران کافی است.
طبق گزارشی که کارلسان امروز در یک وب‌گاه منتشر کرد، مهاجم می‌تواند یک URL مخصوص به قربانی بفرستد و کلمات عبور وی را به سرقت ببرد.
این آسیب‌پذیری ویژه در دستورالعمل پر کردن خودکار افزونه مرورگر LastPass قرار دارد که در آن یک عبارت معین ناقص برای تجزیه URL به مهاجم اجازه می‌دهد که دامنه موردنظر را به سرقت ببرد.
بنابراین نفوذگر با سوءاستفاده از این آسیب‌پذیری تکمیل خودکار می‌تواند به طور مثال با ارسال یک POC URL حاوی facebook.com، گذرواژه فیسبوک قربانی را به سرقت ببرد. این شرکت در حال حاضر این حفره را وصله و به کارلسان بابت کشف این آسیب‌پذیری مبلغ ۱۰۰۰ دلار پاداش اعطا شده است. وجود حفره در چنین برنامه‌های مدیریت گذرواژه واقعاً نگران‌کننده است، اما این بدین معنا نیست که از این برنامه‌ها نباید استفاده کرد. حتی این نرم‌افزارها کاربران را تشویق به استفاده از کلمات عبور پیچیده و منحصربه‌فرد برای هر وب‌گاه می‌کند.
به دنبال این حفره‌های تازه کشف ‌شده، کاربران به‌جای استفاده از برنامه‌های مدیریت گذرواژه مبتنی بر مرورگر می‌توانند از نسخه‌هایی استفاده کنند که نیازی به وصل شدن به اینترنت ندارند مانند keePass.
به‌روزرسانی: LastPass به‌سرعت این آسیب‌پذیری گزارش‌شده توسط تاویس اورماندی را وصله و یک به‌روزرسانی برای کاربران فایرفاکس که از LastPass نسخه ۴ استفاده می‌کنند، منتشر کرد.
LastPass در گزارشی گفت: «این آسیب‌پذیری تنها روی کاربران فایرفاکس تأثیر می‌گذارد؛ و اگر کاربران از نسخه ۴ LastPass یا نسخه‌های قبلی آن استفاده می‌کنند، نسخه به‌روزرسانی این نرم‌افزار یعنی ۴.۱.۲۱a از طریق مرورگرشان منتشرشده است».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.