密碼管理器也不安全!LastPass曝出高危漏洞,黑客可輕鬆偷走你的密碼

Editor發表於2019-09-18

密碼管理器也不安全!LastPass曝出高危漏洞,黑客可輕鬆偷走你的密碼

圖片來源:Bleeping computer



網路賬戶越來越多,不同的賬戶密碼也隨之不斷增多。


為了安全,許多使用者開始使用密碼管理器。


你只需要需要記住一個主密碼來就可以解鎖網上賬戶的所有其他密碼,


然而,密碼管理器也並不是那麼安全。



LastPass是什麼?


LastPass作為一款流行的線上密碼管理器,同時還可以作為一個瀏覽器擴充套件,功能強大。支援PC端和手機端的各種主流瀏覽器,例如IE、Chrome、 FireFox、 Opera、Safari等,其優勢在於跨瀏覽器平臺資料同步,使用範圍極廣。


密碼管理器也不安全!LastPass曝出高危漏洞,黑客可輕鬆偷走你的密碼

當你登入任何一個網站,它就會提醒你儲存登入資訊,並在雲端自動同步,之後再次訪問這個網站就會幫你填寫登入憑證。

這給密碼眾多又記不住的使用者帶來了許多便利。


LastPass爆出安全風險


這一次的漏洞,恰恰源自在LastPass在瀏覽器擴充套件中的安全隱患。黑客可以利用這個漏洞獲取使用者上次登入網站時儲存的登入憑證。

這次攻擊型別是點選劫持,這也就意味著你瀏覽的網頁並不是真實的網頁,而是黑客所精心設計的另一個透明網頁,往往就是惡意網頁。

這種攻擊利用了HTML中iframe標籤的透明屬性。當你通過網頁提示將輸入密碼的彈出框放置到iframe中時,就會自動跳過驗證鏈中的一個步驟,從而給了黑客趁機而入的機會,以盜竊你最後一次輸入的密碼。

雖然這個漏洞可能不適用於所有的網站,但其嚴重性仍是不容忽視的。

此外,研究人員發現LastPass還存在三個可能被攻擊者利用的漏洞,如下所示:

1.由於缺乏對可信事件的檢查而產生任意快捷鍵漏洞事件的可能性。
2.允許禁用多個安全檢查。
3.允許繞過幾個與安全相關的驗證。


解決方案


LastPass密碼管理器的製造商承認了這個漏洞,並在9月13日宣佈他們已經解決了這個漏洞。

雖然由於該漏洞導致的任何潛在風險僅限於特定瀏覽器(Chrome和Opera),但作為預防措施,LastPass官方已將補丁自動更新到所有瀏覽器,但仍需要檢查是否是最新版本,因為部分使用者的瀏覽器禁用擴充套件自動更新。

密碼管理器也並不是絕對安全,只是提供一種相對風險較低的密碼儲存方式。對LastPass使用者的建議包括以下幾點:

遠離未知的個人連結

為所有支援該功能的服務啟用多重身份驗證(MFA)

不要重複使用或共享密碼管理器的主密碼

為每個線上帳戶建立唯一密碼

執行最新的防病毒解決方案,並確保軟體在您的計算機上是最新版本



*本文由看雪編輯 LYA 編譯自Bleeping computer,轉載請註明來源及作者。

相關文章