用密碼管理器LastPass的漏洞可以把控制權(quán)交給黑客,灰鴿子,灰鴿子遠程控制軟件

admin

用密碼管理器LastPass的漏洞可以把控制權(quán)交給黑客,灰鴿子,灰鴿子遠程控制軟件
該漏洞需要誘使用戶訪問惡意網(wǎng)站
即使密碼管理器LastPass可以愚弄。一位谷歌安全研究人員已經(jīng)找到了一種方法來遠程劫持軟件。
它先引誘用戶到惡意網(wǎng)站。然后，該網(wǎng)站將利用一個Firefox瀏覽器的一個漏洞LastPass的插件，讓它在密碼管理軟件控制。
LastPass寫的漏洞在星期三說，修復(fù)已是為Firefox用戶。
谷歌安全研究Tavis Ormandy first發(fā)現(xiàn)的問題。當(dāng)檢查密碼管理器，他在星期二說，“人們真的使用LastPass的事嗎？我看了一眼，可以看到一堆明顯的關(guān)鍵問題。我會盡快發(fā)一份報告�！�
與LastPass的任何漏洞可能給用戶帶來很大的風(fēng)險。流行的軟件應(yīng)該安全地存儲和自動填充所有的密碼的用戶有不同的網(wǎng)站。
Ormandy并不是唯一的安全研究人員發(fā)現(xiàn)密碼管理的缺陷。上星期三，在Detectify實驗室的Mathias Karlsson說他還設(shè)法破解LastPass–在這種情況下，盜取用戶的密碼。
他這樣做是利用密碼管理器的瀏覽器擴展的一個錯誤，卡爾森在一篇博客文章中寫道。
通常，LastPass的瀏覽器擴展營密碼的用戶訪問某些網(wǎng)站。然而，卡爾森注意到，延伸到每個網(wǎng)站訪問添加一些HTML代碼。此代碼是用來分析網(wǎng)站的地址，以確定該域名，然后填寫所需的密碼。
問題是，HTML代碼可以被欺騙。該擴展將自動填充用戶的密碼，即使它不是訪問正確的網(wǎng)站。
卡爾森利用這個bug，并偽造了一個網(wǎng)址，讓LastPass的瀏覽器擴展以為它是訪問推特。擴展的推特然后自動填入密碼進入網(wǎng)站。
黑客可以利用這個漏洞，通過建立一個惡意網(wǎng)站，誘騙LastPass的用戶訪問它。該網(wǎng)站可以秘密收集密碼。
卡爾森說在一年前的錯誤，這個問題已經(jīng)被修復(fù)，據(jù)LastPass。它指出漏洞需要黑客誘騙用戶進入他們的工作訪問惡意網(wǎng)站。
該公司建議用戶在觀看網(wǎng)絡(luò)釣魚攻擊，可以發(fā)送到不好的網(wǎng)站鏈接。