澳门新葡亰信誉平台游戏黑客借LastPass漏洞盗走用户密码

by admin on 2020年4月15日

澳门新葡亰信誉平台游戏 1

黑客借LastPass漏洞盗走用户密码

近日,全球知名的密码管理软件LastPass被爆出一条重大bug,可允许远程攻击者彻底获得用户账户信息。

澳门新葡亰信誉平台游戏 2

LastPass作为一款受众广泛的密码管理工具,也可以作为一个浏览器扩展程序,为你自动填写登录信息。你所需要做得只是记住一个主密码,便能解锁你不同网站帐号对应的密码,让你能够使用唯一密码就可以轻松实现登录不同的网站。然而这个密码管家,却不像他所声称的那样,牢不可破。

Google Zero团队黑客 Tavis
Ormandy在LastPass中发现了一些安全问题,他可以拖出LastPass的密码库。

“人们真的正在使用LastPass这种密码管理工具码?我简单地看了下,就发现一些很严重的问题,我会尽快发送一份报告”
Tavis Ormandy在Twitter中说。

一旦黑客入侵了LastPass用户的账号,便能够通过密码,成功进入受害者其他在线服务的网站。目前,LastPass正在处理相关高危漏洞,开发人员表示,相关技术问题的细节尚未对外透露。

近日 LastPass
密码管理的开发人员紧急推出修复程序,以解决黑客窃取用户密码或在其计算机上执行恶意代码的严重漏洞。

LastPass也曾出现过类似的Bug

无独有偶,另一位安全研究人员 Mathias
Karlsson也曾公布他在LastPass上发现的一些问题,而这些漏洞已经获得了修复。一个特制的网址就足以威胁到用户的账户安全。Karlsson在他的博客中解释到,黑客通过发送一条专门设置过的网站链接致受害者处,一旦用户点击,就有可能拿到受害者库中的密码。

这个特殊的漏洞可以隐藏在LastPass浏览器的密码带填功能中,这个存在于解析域名的漏洞,能够允许黑客欺骗目标域。

“通过浏览此网址:
http://avlidienbrunn.se/@twitter.com/@hehe.php
浏览器会向像对待当前域avlidienbrunn.se一样,将twitter也作为访问对象”
Karlsson 解释道。

因此,通过滥用LastPass的自动填充功能,黑客可以窃取受害者的密码,比方说,如果黑客要窃取用户Facebook的密码,只要通过向受害者发送包含facebook.com的POC
URL(概念验证网址)就有可能实现。

简单的说,通过密码带填的功能,你在访问facebook.com的同时,已经将自己真实的密码,添加到了黑客所设置的概念验证网址中。这个特殊的漏洞已经在一天之内被官方修补,同时
Karlsson 也被LastPass授予了1000美元的奖金,以表彰他发现的重大漏洞。

安全研究人员发现,营销公司已经开始利用浏览器内置密码管理器中已存在 11
年的一个漏洞,来偷偷窃取你的电子邮件地址,以便在不同的浏览器和设备上投放有针对性的广告。

该漏洞由 Google 安全研究员 Tavis Ormandy 发现,并于星期一向 LastPass
报告。 它影响了服务用户为 Google Chrome,Mozilla Firefox 和 Microsoft
Edge 安装的浏览器扩展。

如何能有效地降低漏洞带来的风险

此前LastPass在出现类似问题时,曾给用户提供了一些改进建议,以降低漏洞给用户带来的盗号风险。

  1. 及时更新你的的主密码;
  2. 开启两步验证功能,让所有从新设备或新IP地址登录帐号的用户都需要通过电子邮件去验证身份;
  3. 使用自带的密码生成器生产强密码,避免主密码和用于其他网站的登录的密码使用弱口令。

对于采用较弱主密码,例如将英文单词作为主密码的用户,重置主密码尤为重要,因为这类用户的密码更容易被黑客破解。如果用户还将这一主密码用于其他网站的帐号,那么也应当在相应网站上修改。

除了窃取电子邮件信息外,该漏洞还可能允许恶意用户直接从浏览器内偷偷保存你的用户名和密码,在不需要和你交互的情况下。

根据 Google Project Zero 错误跟踪器中的描述,该漏洞可能会给攻击者访问
LastPass
扩展中的内部命令。扩展程序使用的这些命令来复制密码,或使用存储在用户的安全保管库中的信息填写
Web
表单。如果安装了扩展的二进制组件,则可以使用“openattach”命令在计算机上运行任意代码。

你是否还需要密码管理器工具

如果你有满足以下症状的其中一条,那你仍然有使用密码管理工具的必要

  • 社交帐号、游戏账号、购物帐号……用途各异的常用帐号加在一起达到10-15个
  • 常用密码以12345678、qq123456、66666666、dadada等形式的简单密码为主
  • 拥有大量帐号的同时,只使用单一简单密码进行验证登录
  • 使用多个强密码进行验证登录,时常因为忘记,而需要找回密码的

日常生活中的社交帐号、游戏帐号、购物帐号不胜枚举,面对这些用途各异的帐号,一个统一的简单密码显然并不安全;而复杂多变的强密码,虽然安全,但却不方便记忆和使用。

密码管理软件仍然有助于督促用户养成良好的密码使用习惯,让用户能够针对不同的网站帐号,使用独一且复杂的密码。如此一来,既提高了帐号安全性,也方便了用户使用和管理自己的密码。

为了满足用户日益突出的密码管理需求,国内专注于互联网安全的企业也在积极开发着各类密码管理类软件,其中不乏一些已经成型的产品,例如“洋葱”————为用户提供免费的密码管理软件。外来的和尚未必好念经,本土用户的使用和检验,往往有助于国内企业为用户,呈现出更为安全和易用的产品。

澳门新葡亰信誉平台游戏 3

LastPass
开发人员在其服务器上部署了解决方法,并计划在新版本中包含完整修复。

每个主流的浏览器(Google Chrome, Mozilla Firefox, Opera or Microsoft
Edge)都有一个内置的密码管理工具,它允许用户保存自己的登录信息并用于自动填充表单(网页中负责数据采集功能的部分)。

Ormandy 周二在 Firefox
扩展中报道了另一个漏洞,它与第一个漏洞相关,很快,在星期三发布的新版本的
Firefox 扩展 4.1.36a 中就被修复。

澳门新葡亰信誉平台游戏 4
Google Chrome中的密码和表单功能

编译自:InfoWorld

这些浏览器内置的密码管理器是为了方便用户使用而设计的,因为它们会自动检测网页上的登录表单,并相应地填写在密码管理器中保存的用户名和密码等凭证。

(文/开源中国)    

来自普林斯顿大学的一个研究小组发现,有两家营销公司正在利用这种内置的管理器漏洞来追踪
Alexa(一家专门发布网站世界排名的网站)上一百万个站点中的约 1110
个站点的访问者。 研究人员发现这些网站上的第三方跟踪脚本在网页后台注入了隐蔽的用户登录(窗口),欺骗了基于浏览器的密码管理器,使用保存的用户信息自动填写表单。

研究人员表示:一般来说,登录表单的自动填充功能不需要用户做任何操作,所有的主流浏览器都会立即填充用户名(通常是电子邮件地址),而不管表单的可见性如何。Chrome
不会自动填充密码字段,直到用户点击或触摸页面上的任何位置。而其它浏览器不需要用户交互来自动填写密码字段。

这些脚本主要是为跟踪用户而设计的,因此它们会检测用户名,并在使用
MD5、SHA1 和 SHA256
算法进行散列(也被称作「哈希」,将任意长度的输入转换成固定长度的输出)处理之后将其发送给第三方服务器,然后将其用作特定用户的持久
ID,以便对用户进行持续跟踪。

因为用户往往只使用一个电子邮箱,它是独一无二的,而且几乎不会更换,因此电子邮件地址是个很好的用于跟踪用户的标识符。无论是清除
cookies、使用隐私浏览,还是更换设备,都不会阻止用户被追踪。

尽管研究人员已经发现了使用这种跟踪脚本来获取用户名的市场营销公司,但以相同方式收集用户密码的组织目前未被发现,它存在的可能性非常高。 然而,大多数第三方密码管理器,如
LastPass 和 1Password
都不容易受到这种攻击,因为它们避免了自动填充不可见的表单,并且需要用户交互。

据极客公园测试,多款主流浏览器已经修复了这个漏洞,不过我们仍然可以看到图中的演示。防止此类攻击的最简单方法是在浏览器上禁用自动填充功能。同时,极客公园建议用户要定期修改密码。

澳门新葡亰信誉平台游戏 5
攻击演示图(来自 The Hacker News )

其他的密码管理工具也可能出现问题。今年 3 月,LastPass
再次被爆出安全漏洞,谷歌 Project Zero 团队的安全研究人员 Tavis Ormandy
发现,在 LastPass Chrome 和 Firefox 4.1.42
版本插件中存在三个漏洞,攻击者能利用漏洞从密码管理器中提取密码,还可以执行受害者设备上的命令,该漏洞存在于所有操作系统中。

LastPass
并非唯一被曝漏洞的密码管理类应用,其他密码管理器也出现过各种漏洞。没有密码管理器之前,我们记不住所有的密码,而有了密码管理器,它说不定会泄露了你的密码。

不过,随着「扫描二维码登录」、生物识别技术和分析用户行为的技术已经走进了大家的生活,或许在未来的某一天,我们就可以告别令人讨厌的密码了。

【编辑推荐】

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图