Исследователи обнаружили множественные уязвимости в популярных менеджерах паролей

Исследователи обнаружили множественные уязвимости в популярных менеджерах паролей

Обнаруженные бреши позволяют злоумышленникам получить доступ ко всем хранящимся в менеджерах учетным данным пользователей.

Исследователи из Калифорнийского университета в Беркли (The University of California, Berkeley) сообщили о серии уязвимостей в пяти популярных менеджерах паролей. По словам Живея Ли (Zhiwei Li), Уоррена Хе (Warren He), Девдатта Ахаве (Devdatta Akhawe) и Доуна Сонга (Dawn Song), они осуществили ряд сложных атак на LastPass, RoboForm, My1Login, PasswordBox и NeedMyPassword. Взломав четыре из пяти программ, ученым удалось получить учетные данные пользователей к произвольным сайтам.

Исследователи обнаружили уязвимости как в функции генерации одноразовых и общих паролей, так и в букмарклетах. Причины их возникновения различны – от логических ошибок и ошибок авторизации, до некорректных моделей web-безопасности. В добавок к этому ученые также обнаружили бреши, позволяющие осуществлять атаки межсайтового скриптинга и межсайтовой подделки запросов.

Успешная эксплуатация уязвимости в опции букмарклетов в LastPass, позволяющей интеграцию с Safari на iOS, возможна в случае, если злоумышленнику удастся заставить пользователя запустить Java-код на сайте атакующего. Например, кардер может создать поддельный сайт для online-банкинга и таким образом заставить незначительное количество (менее 1%) пользователей LastPass использовать букмарклеты для входа. Благодаря чему злоумышленник получит доступ к учетным данным, хранящимся в менеджере паролей.

Еще одна CSRF-уязвимость затрагивает функцию генерации одноразовых паролей в LastPass. Данная брешь позволяет атакующему видеть, в каких приложениях и устройствах используется эта программа, а также похищать зашифрованные пароли для последующего брутфорса.

По словам исследователей, данная брешь была исправлена в сентябре прошлого года. «Если вы обеспокоены тем, что использовали букмарклеты для непроверенных сайтов до сентября 2013 года, и хотите сменить мастер-пароль и сгенерировать новые пароли, мы советуем вам не делать этого, поскольку такой необходимости нет, - цитирует эксперта Джо Сигриста (Joe Siegrist) издание The Register. – Атака на одноразовый пароль является целевой, и для ее осуществления атакующему необходимо знать имя пользователя жертвы и проводить кастомизированную атаку для каждого отдельного случая. До сих пор мы подобного не видели».

Подробнее ознакомиться с отчетом исследователей можно  здесь .

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.