密码管理器LastPass的漏洞可能会将控制权移交给黑客

密码管理器LastPass的漏洞可能会将控制权移交给黑客

即使是密码管理器LastPass也可能被愚弄。一名谷歌安全研究员找到了远程劫持软件的方法。

它的工作原理是首先引诱用户访问恶意网站。然后,该网站将利用Firefox浏览器LastPass插件中的一个缺陷,使其能够控制密码管理软件。

LastPass在周三写到了这个漏洞,并表示已经有针对Firefox用户的修复程序。

谷歌安全研究机构Tavis Ormandy首先发现了这个问题。在检查密码管理器时,他周二在推特上写道:“人们真的在使用这个lastpass吗?我快速看了一下,发现了一堆明显的关键问题。我会尽快发送报告。”

LastPass的任何漏洞都可能给用户带来很大的风险。流行的软件应该安全地存储和自动填充用户在不同站点的所有密码。

奥曼迪不是唯一一个发现密码管理器缺陷的安全研究员。周三,Detectify实验室的mathiaskarlsson说,他还成功地入侵了LastPass——在本例中,是为了窃取用户密码。

卡尔森在博客中写道,他利用了密码管理器Chrome浏览器扩展中的一个漏洞。

通常,LastPass浏览器扩展自动填充用户访问的某些网站的密码。然而,Karlsson注意到这个扩展为它访问的每个站点都添加了一些HTML代码。此代码旨在解析网站地址以识别域,然后填写所需的密码。

问题是HTML代码可能会被欺骗。扩展将自动填充用户的密码,即使它没有访问正确的网站。

卡尔森利用了这个漏洞,创建了一个假网址,欺骗了LastPass浏览器扩展,让它以为自己在访问Twitter。然后,该扩展自动将Twitter密码填充到该站点中。

黑客可以利用这个漏洞,建立一个恶意网站,诱使LastPass用户访问它。然后网站可以秘密收集密码。

据LastPass报道,卡尔森在一年前就报告了这个错误,而这个问题已经被修复。它指出,这两个漏洞都需要黑客诱使用户访问恶意网站,才能正常工作。

该公司建议用户警惕网络钓鱼攻击,因为网络钓鱼攻击会将链接发送到不受欢迎的网站。