LastPass密码管理器再曝严重漏洞,基于浏览器的密码管理器还能用吗?

没有使用密码软件前,大家容易忘记密码;使用密码软件后,大家“无奈地”泄露了所有密码。LastPass,最受欢迎的密码管理软件之一,近日再次爆出安全漏洞。安全人员发现在 LastPass Chrome 和 Firefox 4.1.42 版本插件中存在三个漏洞,可能会导致用户在使用该组件的过程中泄露密码。

这几个漏洞都是谷歌Project Zero团队的安全研究人员Tavis Ormandy发现的。其中一个漏洞影响到LastPass的Chrome扩展,另外两个则是针对Firefox的。Ormandy称该扩展程序上有可利用的内容脚本,允许攻击者从管理器中提取密码,还可以执行受害者设备上的命令。

所有平台都受影响

Chrome的LastPass插件漏洞可被利用攻击用户浏览器和LastPass云服务器之间的JS脚本。Ormandy解释说:

“由于该漏洞的存在,要代理LastPass 4.1.42不受信任的信息是可行的。这个漏洞可让网站访问内部高权限RPC(远程过程调用)。有很多的PRC,可对LastPass扩展实现完整控制,包括密码的窃取。如果你安装了‘Binary Component’,甚至可以造成任意代码执行。”

Ormandy演示了如何通过该中间脚本在用户设备上执行代码,上图即成功实现了Windows计算器的启动。值得一提的是,该漏洞存在于所有操作系统中,并不只是Windows版Chrome。另外改一下PoC,在密码复制并填充用户名和密码表单之前,就能窃取用户密码了。

在具体攻击方式上,攻击者可以在网站的JS脚本中放入恶意代码,所以危险系数还是比较高的,攻击成本却比较低。LastPass发布推文称已经修复了Chrome插件的相关漏洞,还专门发了篇博文来详述该问题。

Firefox也未能幸免

如上所述,Firefox的LastPass扩展也存在漏洞,仅影响3.3.2版本——这个版本的确也是LastPass最广泛应用的版本。和Chrome版一样,攻击者也可以通过隐藏在网站中的恶意JS代码来发动攻击,下图复现了其中一个漏洞。

不过两周前,LastPass就发布了新版Firefox插件,因为Firefox原本计划抛弃旧有扩展API。漏洞的演示页面点击原文观看 。

基于浏览器的密码管理扩展还能用吗?

实际上,这已经不是Ormandy首次在LastPass中发现高危漏洞了:

2016年7月,同样是 LastPass浏览器扩展组件爆出漏洞,黑客可以通过诱导用户点击一个连接,然后窃取用户的所有密码; 2015年6月,LastPass 的服务器被黑客攻击,并导致用户所有加密数据被泄露,虽然泄露的不是明文数据,但这些数据依旧有被破解的可能; 2014年,安全人员发现 LastPass 的四个密码管理漏洞;

LastPass也并非唯一被曝漏洞的密码管理类应用:Keeper、Dashlane甚至1Password都曾给予攻击者机会窃取用户账户密码。基于浏览器的密码管理扩展都存在类似的攻击面,攻击者只需要设计个恶意网站让相应用户去访问就能在用户不知情的情况下窃取身份凭证信息。

使用这些浏览器密码管理扩展插件,相当于给了攻击者一个API,通过JS或者DOM和用户的密码管理器做交互。其危险程度显然比桌面应用要大得多。

实际上,密码管理器还是有其他选择的,也完全不需要遭受通过JS直接访问的风险尴尬,比如直接用桌面密码管理器。另外主流的浏览器本身都有设计得不错的内置密码管理器,也很易于使用,另外还能和移动端同步。

或者你也可以选择将密码放在本地,然后进行加密。如果攻击者想要获得密码首先要获得你计算机的用户权限,然后在你解密文件的时候查看密码,这对攻击者来说难度不小。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-03-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Vamei实验室

协议森林15 先生,要点单吗? (HTTP协议概览)

我在TCP流通信中说明了,TCP协议实现了数据流的传输。然而,人们更加习惯以文件为单位传输资源,比如文本文件,图像文件,超文本文档(hypertext docu...

2047
来自专栏Debian社区

Parsix GNU/Linux 项目宣布即将终止

基于 Debian 的 Parsix 发行版已经宣布将会在 Debian Stretch 发布六个月后终止。官方表示 Parsix GNU/Linux 8.15...

992
来自专栏耕耘实录

Ubuntu配置DNS令其永久生效的方法

版权声明:本文为耕耘实录原创文章,各大自媒体平台同步更新。欢迎转载,转载请注明出处,谢谢。

1733
来自专栏马洪彪

应用系统数据删除与恢复

1192
来自专栏快乐八哥

Ubuntu12.04安装QQ for Linux

最近把自己的笔记本安装了一个Ubuntu,现在的笔记本有2个系统。一个是Window XP,一个是Ubuntu 12.04。其实就是安装的双系统,因为自己工作是...

4335
来自专栏小文博客

红米note3全网通刷入第三方rec——小文’s blog

1724
来自专栏杨建荣的学习笔记

使用Linux命令发送邮件(r2笔记94天)

在平时的工作中,可能很多环境都有自己的内网环境,如果发生一些问题的时候,可以通过内网环境发送邮件到指定的邮箱中。这种略显智能的方式可能在很多工作场景中使用,一般...

3805
来自专栏coding

mysql自动备份并上传至git仓库

2033
来自专栏JAVA同学会

Kafka 简介

在Kafka中,客户端和服务器之间的通信是通过一种简单的,高性能的,语言不可知的TCP协议完成的。

3372
来自专栏网站漏洞修补

微信里的网站网址被提示已停止访问该网页该如何解决

今天早晨发现我们公司网站只要在微信和qq中打开,分别被微信提示:已停止访问该网页,该网站链接以及在qq上被提示危险网站,千万别访问,首先先看下微信中打开网址被微...

6633

扫码关注云+社区

领取腾讯云代金券