»сследователи обнаружили множественные у€звимости в попул€рных менеджерах паролей

image

“еги: атака, брут-форс, менеджеры

ќбнаруженные бреши позвол€ют злоумышленникам получить доступ ко всем хран€щимс€ в менеджерах учетным данным пользователей.

»сследователи из  алифорнийского университета в Ѕеркли (The University of California, Berkeley) сообщили о серии у€звимостей в п€ти попул€рных менеджерах паролей. ѕо словам ∆иве€ Ћи (Zhiwei Li), ”оррена ’е (Warren He), ƒевдатта јхаве (Devdatta Akhawe) и ƒоуна —онга (Dawn Song), они осуществили р€д сложных атак на LastPass, RoboForm, My1Login, PasswordBox и NeedMyPassword. ¬зломав четыре из п€ти программ, ученым удалось получить учетные данные пользователей к произвольным сайтам.

»сследователи обнаружили у€звимости как в функции генерации одноразовых и общих паролей, так и в букмарклетах. ѕричины их возникновени€ различны – от логических ошибок и ошибок авторизации, до некорректных моделей web-безопасности. ¬ добавок к этому ученые также обнаружили бреши, позвол€ющие осуществл€ть атаки межсайтового скриптинга и межсайтовой подделки запросов.

”спешна€ эксплуатаци€ у€звимости в опции букмарклетов в LastPass, позвол€ющей интеграцию с Safari на iOS, возможна в случае, если злоумышленнику удастс€ заставить пользовател€ запустить Java-код на сайте атакующего. Ќапример, кардер может создать поддельный сайт дл€ online-банкинга и таким образом заставить незначительное количество (менее 1%) пользователей LastPass использовать букмарклеты дл€ входа. Ѕлагодар€ чему злоумышленник получит доступ к учетным данным, хран€щимс€ в менеджере паролей.

≈ще одна CSRF-у€звимость затрагивает функцию генерации одноразовых паролей в LastPass. ƒанна€ брешь позвол€ет атакующему видеть, в каких приложени€х и устройствах используетс€ эта программа, а также похищать зашифрованные пароли дл€ последующего брутфорса.

ѕо словам исследователей, данна€ брешь была исправлена в сент€бре прошлого года. «≈сли вы обеспокоены тем, что использовали букмарклеты дл€ непроверенных сайтов до сент€бр€ 2013 года, и хотите сменить мастер-пароль и сгенерировать новые пароли, мы советуем вам не делать этого, поскольку такой необходимости нет, - цитирует эксперта ƒжо —игриста (Joe Siegrist) издание The Register. Ц јтака на одноразовый пароль €вл€етс€ целевой, и дл€ ее осуществлени€ атакующему необходимо знать им€ пользовател€ жертвы и проводить кастомизированную атаку дл€ каждого отдельного случа€. ƒо сих пор мы подобного не видели».

ѕодробнее ознакомитьс€ с отчетом исследователей можно†здесь.


или введите им€

CAPTCHA
¬аська
14-07-2014 12:20:19
ѕопул€рных? ” хом€ков? KeePassX не присутствует.
0 |
yutoks
14-07-2014 20:13:10
ћожно свой написать. “огда будет "не попул€рным" и эксперты заморачиватьс€ не будут )) Ќо надЄжней бумажный блокнот
0.2714 |
15-07-2014 07:23:21
“оже пользуюсь KeePass))) »нтересно бы его прогнать на предмет у€звимостей.
0.5678 |