حفره امنیتی جدید در Lastpass
به تازگی حفره امنیتی جدیدی در نرم افزار lastpass شناسایی شده است که به مهاجمین این امکان را می دهد با استفاده از حملات فیشینگ به سادگی مدیریت این نرم افزار را به دست گرفته و رمز های ایمیل و حتی رمز های تایید دو مرحله ای کاربران را سرقت کنند.
کلیک - برنامه Dubbed LastPass، که اکنون در Github قابل دسترس است، سایتی است که 12 میلیون نفر به آن مراجعه می کنند تا با پروژه های نرم افزاری جدید آشنا شده و به توسعه آنها کمک کنند. شون کاسیدی مدیر ارشد Praesido، که یک روش تامین امنیت سایبری بر پایه سیستم ابر است، در روز شنبه در خلال برگزاری کنفرانس هکرهای ShmooCon East Coast، در یک سخنرانی ویژه از این پژوهش پرده برداری کرد.
LastPass چگونه عمل می کند
چند ماه پیش LastPass یک پیام بر روی مرورگر کاسیدی به نمایش گذاشت که به او اطلاع می داد که دوره زمانی استفاده او از این نرم افزار به پایان رسیده است و او را به یک صفحه ورود مجدد هدایت می کرد. موضوع شک برانگیز این بود که او در آن زمان از LastPass استفاده نکرده بود و یا کاری نکرده بود که مجبور به خروج خودکار از برنامه باشد.
به گفته کاسیدی، " وقتی می خواستم بر روی این اخطار کلیک کنم متوجه چیزی شدم: این اخطار در پنجره اصلی مرورگر نمایش داده شده بود. فقط یک حمله کننده می توانسته این اخطار را طراحی کرده باشد. از آن جایی که LastPass دارای یک API (رابط نرم افزاری) است که می توان از راه دور به آن دسترسی داشت، احتمال بروز یک حمله به ذهن من خطور کرد."
برای به کار افتادن LastPass، قربانی حمله باید از سایت آلوده بازدید کند سپس هکر باید چند مرحله را به ترتیب انجام دهد: 1) بررسی LastPass و فرستادن اخطار پایان دوره زمانی برای کاربر؛ 2) هدایت قربانی به صفحه ورود و ترغیب او به کلیک کردن بر روی یک پیام جعلی که او را به یک صفحه تحت کنترل هکر هدایت می کند که مشابه صفحه LastPass است 3) فریب دادن قربانی برای وارد کردن رمز ورود و نام کاربری خود، که به سرور فرد حمله کننده ارسال می شود؛ 4) و در نهایت خالی کردن خزانه قربانی.
یک راه حل موقتی
LastPass در یک پیام اینترنتی اعلام کرد روشی را معرفی کرده است که از خارج کردن کاربر از LastPass توسط یک صفحه مخرب جلوگیری می کند. علاوه بر آن، اکنون وقتی که کاربر شروع به وارد کردن رمز عبور اصلی خود در یک صفحه جعلی می کند، LastPass آن را تشخیص داده و قبل از اینکه کاربر اقدامی انجام دهد از طریق یک پیام جانبی یک هشدار جدی به او ارسال خواهد کرد. در صورتی که کاربر هشدار را نبیند و یا آن را نادیده بگیرد، LastPass یک اقدام امنیتی دیگر را اعمال می کند به این صورت که اگر کاربر از یک دستگاه ناشناخته در حال ورود باشد، از او در خواست می کند تا هویت خود را تایید کند.
ذخیره کردن تمام رمزهای عبور در یک جا می تواند برای شما مزایایی داشته باشد و ابزارهایی مانند LastPass تکرار رمزهای ورود را کاهش می دهد، اما داشتن صرفاً یک مکان برای ذخیره رمزها می تواند هدف بزرگی برای حمله باشد.
کاربران باید به خاطر داشته باشند که رمزگذاری یک راه حل کامل نیست. داده های رمزگذاری شده طوری طراحی می شوند تا روزی قابل رمزگشایی باشند، و لطمه زدن به یک نرم افزار معتبر روشی است که حمله کنندگان برای دستیابی به اطلاعات استفاده می کنند.
منبع: livescience