用密碼管理器LastPass的漏洞可以把控制權(quán)交給黑客,灰鴿子,灰鴿子遠(yuǎn)程控制軟件

admin

用密碼管理器LastPass的漏洞可以把控制權(quán)交給黑客,灰鴿子,灰鴿子遠(yuǎn)程控制軟件
該漏洞需要誘使用戶訪問(wèn)惡意網(wǎng)站
即使密碼管理器LastPass可以愚弄。一位谷歌安全研究人員已經(jīng)找到了一種方法來(lái)遠(yuǎn)程劫持軟件。
它先引誘用戶到惡意網(wǎng)站。然后，該網(wǎng)站將利用一個(gè)Firefox瀏覽器的一個(gè)漏洞LastPass的插件，讓它在密碼管理軟件控制。
LastPass寫(xiě)的漏洞在星期三說(shuō)，修復(fù)已是為Firefox用戶。
谷歌安全研究Tavis Ormandy first發(fā)現(xiàn)的問(wèn)題。當(dāng)檢查密碼管理器，他在星期二說(shuō)，“人們真的使用LastPass的事嗎？我看了一眼，可以看到一堆明顯的關(guān)鍵問(wèn)題。我會(huì)盡快發(fā)一份報(bào)告。”
與LastPass的任何漏洞可能給用戶帶來(lái)很大的風(fēng)險(xiǎn)。流行的軟件應(yīng)該安全地存儲(chǔ)和自動(dòng)填充所有的密碼的用戶有不同的網(wǎng)站。
Ormandy并不是唯一的安全研究人員發(fā)現(xiàn)密碼管理的缺陷。上星期三，在Detectify實(shí)驗(yàn)室的Mathias Karlsson說(shuō)他還設(shè)法破解LastPass–在這種情況下，盜取用戶的密碼。
他這樣做是利用密碼管理器的瀏覽器擴(kuò)展的一個(gè)錯(cuò)誤，卡爾森在一篇博客文章中寫(xiě)道。
通常，LastPass的瀏覽器擴(kuò)展?fàn)I密碼的用戶訪問(wèn)某些網(wǎng)站。然而，卡爾森注意到，延伸到每個(gè)網(wǎng)站訪問(wèn)添加一些HTML代碼。此代碼是用來(lái)分析網(wǎng)站的地址，以確定該域名，然后填寫(xiě)所需的密碼。
問(wèn)題是，HTML代碼可以被欺騙。該擴(kuò)展將自動(dòng)填充用戶的密碼，即使它不是訪問(wèn)正確的網(wǎng)站。
卡爾森利用這個(gè)bug，并偽造了一個(gè)網(wǎng)址，讓LastPass的瀏覽器擴(kuò)展以為它是訪問(wèn)推特。擴(kuò)展的推特然后自動(dòng)填入密碼進(jìn)入網(wǎng)站。
黑客可以利用這個(gè)漏洞，通過(guò)建立一個(gè)惡意網(wǎng)站，誘騙LastPass的用戶訪問(wèn)它。該網(wǎng)站可以秘密收集密碼。
卡爾森說(shuō)在一年前的錯(cuò)誤，這個(gè)問(wèn)題已經(jīng)被修復(fù)，據(jù)LastPass。它指出漏洞需要黑客誘騙用戶進(jìn)入他們的工作訪問(wèn)惡意網(wǎng)站。
該公司建議用戶在觀看網(wǎng)絡(luò)釣魚(yú)攻擊，可以發(fā)送到不好的網(wǎng)站鏈接。