کد خبر:1016577
اشتراک گذاری
مرتب‌سازی نظرها براساس:

حفره امنیتی جدید در Lastpass

به تازگی حفره امنیتی جدیدی در نرم افزار lastpass شناسایی شده است که به مهاجمین این امکان را می دهد با استفاده از حملات فیشینگ به سادگی مدیریت این نرم افزار را به دست گرفته و رمز های ایمیل و حتی رمز های تایید دو مرحله ای کاربران را سرقت کنند.

کلیک - برنامه Dubbed LastPass، که اکنون در Github قابل دسترس است، سایتی است که 12 میلیون نفر به آن مراجعه می کنند تا با پروژه های نرم افزاری جدید آشنا شده و به توسعه آنها کمک کنند. شون کاسیدی مدیر ارشد Praesido، که یک روش تامین امنیت سایبری بر پایه سیستم ابر است، در روز شنبه در خلال برگزاری کنفرانس هکرهای ShmooCon East Coast، در یک سخنرانی ویژه از این پژوهش پرده برداری کرد.

RLjWn (1)


LastPass چگونه عمل می کند

چند ماه پیش LastPass یک پیام بر روی مرورگر کاسیدی به نمایش گذاشت که به او اطلاع می داد که دوره زمانی استفاده او از این نرم افزار به پایان رسیده است و او را به یک صفحه ورود مجدد هدایت می کرد. موضوع شک برانگیز این بود که او در آن زمان از LastPass استفاده نکرده بود و یا کاری نکرده بود که مجبور به خروج خودکار از برنامه باشد.
به گفته کاسیدی، " وقتی می خواستم بر روی این اخطار کلیک کنم متوجه چیزی شدم: این اخطار در پنجره اصلی مرورگر نمایش داده شده بود. فقط یک حمله کننده می توانسته این اخطار را طراحی کرده باشد. از آن جایی که LastPass دارای یک API (رابط نرم افزاری) است که می توان از راه دور به آن دسترسی داشت، احتمال بروز یک حمله به ذهن من خطور کرد."

برای به کار افتادن LastPass، قربانی حمله باید از سایت آلوده بازدید کند سپس هکر باید چند مرحله را به ترتیب انجام دهد: 1) بررسی LastPass و فرستادن اخطار پایان دوره زمانی برای کاربر؛ 2) هدایت قربانی به صفحه ورود و ترغیب او به کلیک کردن بر روی یک پیام جعلی که او را به یک صفحه تحت کنترل هکر هدایت می کند که مشابه صفحه LastPass است 3) فریب دادن قربانی برای وارد کردن رمز ورود و نام کاربری خود، که به سرور فرد حمله کننده ارسال می شود؛ 4) و در نهایت خالی کردن خزانه قربانی.

یک راه حل موقتی

LastPass در یک پیام اینترنتی اعلام کرد روشی را معرفی کرده است که از خارج کردن کاربر از LastPass توسط یک صفحه مخرب جلوگیری می کند. علاوه بر آن، اکنون وقتی که کاربر شروع به وارد کردن رمز عبور اصلی خود در یک صفحه جعلی می کند، LastPass آن را تشخیص داده و قبل از اینکه کاربر اقدامی انجام دهد از طریق یک پیام جانبی یک هشدار جدی به او ارسال خواهد کرد. در صورتی که کاربر هشدار را نبیند و یا آن را نادیده بگیرد، LastPass یک اقدام امنیتی دیگر را اعمال می کند به این صورت که اگر کاربر از یک دستگاه ناشناخته در حال ورود باشد، از او در خواست می کند تا هویت خود را تایید کند.

ذخیره کردن تمام رمزهای عبور در یک جا می تواند برای شما مزایایی داشته باشد و ابزارهایی مانند LastPass تکرار رمزهای ورود را کاهش می دهد، اما داشتن صرفاً یک مکان برای ذخیره رمزها می تواند هدف بزرگی برای حمله باشد.
کاربران باید به خاطر داشته باشند که رمزگذاری یک راه حل کامل نیست. داده های رمزگذاری شده طوری طراحی می شوند تا روزی قابل رمزگشایی باشند، و لطمه زدن به یک نرم افزار معتبر روشی است که حمله کنندگان برای دستیابی به اطلاعات استفاده می کنند.

منبع: livescience

نظرها

سر‌خط آخرین خبرها

خبرهای بیشتر
مشخصات و قیمت گوشی های 12T و 12T پرو شیائومی

مشخصات و قیمت گوشی های 12T و 12T پرو شیائومی اعلام شد.

ناراحتی اپل از تصمیم پارلمان اروپا در مورد اجباری شدن پورت Type-C

پارلمان اروپا اپل را مجبور به عقب نشینی کرد.

ویرایش توئیت ها در توئیتر ممکن شد
ویرایش توئیت ها در توئیتر ممکن شد

س از سال‌ها درخواست کاربران از توییتر برای دکمه ویرایش، بالاخره به آرزوی خود...

بهترین قفل های هوشمند موجود در بازار ایران کدام است؟

در سال های اخیر و با ظهور انواع تکنولوژی ‌های جدید، امنیت و زندگی آسوده در...

گروه هکری انانیموس: سایت دانشگاه شریف را هک کردیم

هکرهای گروه انانیموس ساعاتی قبل با انتشار پیامی ویدئویی مدعی شدند، سایت...

ROG Strix GeForce RTX 4090
معرفی قوی ترین کارت گرافیک های گیمینگ در سال 2022

در ماه جاری میلادی، جدیدترین چیپست‌های گرافیکی شرکت انویدیا، سرانجام معرفی...

7 دلیل برای خرید قسطی آیفون 14

مدتی است که جدیدترین سری گوشی‌های اپل یعنی آیفون 14 به بازار عرضه شده است. از...

اعلام نحوه جبران خسارت بسته های اینترنتی اپراتورها در زمان قطعی اینترنت

بر اساس اعلام سازمان تنظیم مقررات و ارتباطات رادیویی، زمان استفاده از...

چطور مصرف برق گوشی، لپتاپ، کامپیوتر و تبلت را کاهش دهیم؟
چطور مصرف برق گوشی، لپتاپ، کامپیوتر و تبلت را کاهش دهیم؟

ما نمی توانیم بدون رایانه های رومیزی، لپ تاپ ها و تبلت ها کار کنیم؛ آنها هر...

دستاورد جدید وزارت ارتباطات | ایران به رتبه دوم فیلترینگ در جهان رسید
ایران به رتبه دوم فیلترینگ در جهان رسید

طبق گزاش وبسایت comparietech ایران در رتبه دوم محدودیت‌های اینترنتی قرار دارد. در...