Lỗi trong Tiện ích trình duyệt LastPass cho phép tin tặc lấy mật khẩu
Vào đầu tháng, chúng tôi thấy các chuyên gia an ninh mạng ở khắp mọi nơi trong vòng tay liên quan đến vụ rò rỉ Vault 7, nơi mọi thứ từ các công cụ tấn công của CIA đến việc khám phá “ma thuật meme” đã được bán phá giá trên WikiLeaks để cả thế giới nhìn thấy.
Chỉ một vài tuần đã trôi qua, và tháng 3 tiếp tục là một tháng đầy hành động vì các lỗi trong phần mở rộng trình duyệt của LastPass sẽ cho phép tin tặc lấy mật khẩu từ những người dùng không nghi ngờ.
Bugs
Một lỗi trong phần mở rộng Google Chrome của LastPass đã được phát hiện bởi Tavis Ormandy, một thành viên của Dự án Zero của Google, vào thứ Hai. Lỗi đầu tiên - cho phép tin tặc viết mã trong khi cướp máy tính của bạn với máy chủ bạn đang đăng nhập và truy cập vào mật khẩu của bạn - có thể tìm thấy trong báo cáo này cũng chứa mã chứng minh của anh ấy trong trường hợp bạn ' lại quan tâm.
Các lỗi khác được tìm thấy bởi Ormandy là trong LastPass 'Firefox phiên bản mở rộng 3.3.2 (cũ hơn, nhưng vẫn còn rất phổ biến). Nó cho phép tin tặc thực thi một tập lệnh cross-site phổ quát để tiết lộ mật khẩu của người dùng thông qua các cảnh báo.
Hôm thứ 3, LastPass đã thực hiện miền dịch vụ nội bộ chịu trách nhiệm chuyển thông tin xác thực xuất hiện không tồn tại (ví dụ NXDOMAIN-ing) trong khi họ điều tra vấn đề, sau đó đăng thông báo vào thứ Tư nói rằng họ đã khắc phục sự cố trong tiện ích của Chrome.
Theo như các phần mở rộng Firefox đã được quan tâm, họ rời nó như là kể từ khi các phiên bản 3.x chi nhánh sẽ được nghỉ hưu trong tháng tư anyway. Để rõ ràng, đây không phải là một lời buộc tội. Họ đã tuyên bố công khai trong thông báo của họ: “ Lỗi này đã được báo cáo cho đội của chúng tôi năm ngoái và được khắc phục vào thời điểm đó. Tuy nhiên, bản sửa lỗi không được đẩy xuống nhánh Firefox 3.3.x cũ của chúng tôi; chi nhánh này đã được lên kế hoạch nghỉ hưu chính thức vào tháng Tư. ”
Bạn nên làm gì
Nếu bạn sử dụng dịch vụ LastPass ', tôi khuyên bạn nên đảm bảo rằng các tiện ích mở rộng của trình duyệt của bạn được cập nhật nhất có thể. Khác với điều đó, không có mối đe dọa ngay lập tức để được báo động về. Nói chung, bạn nên làm điều này với tất cả các tiện ích mở rộng của mình. Theo mặc định, cả Chrome và Firefox sẽ thực hiện các bản cập nhật này cho bạn, vì vậy nếu bạn đã chọn không tham gia, có thể bây giờ là thời điểm tốt để cho ý tưởng thứ hai đó.
Có một mối quan tâm lớn hơn, mặc dù ...
Nói điều này chắc chắn sẽ không giành được bất kỳ điểm nào trong khí hậu công nghiệp công nghệ ngày nay, nhưng nó phải được nói: thuận tiện và an ninh thường là một sự phân đôi. Một trong những người bình luận khao khát nhất của chúng tôi đã đưa ra một tuyên bố tương tự trước đó khi chúng tôi báo cáo về rò rỉ Vault 7 của CIA.
Khi chúng tôi thân mật hơn (ví dụ: chia sẻ mật khẩu, thông tin cá nhân của chúng tôi, v.v.) với công nghệ chúng tôi sử dụng, chúng tôi đang cung cấp cho hacker một cách hiệu quả hơn để thỏa hiệp với chúng tôi. Vi phạm xảy ra bởi vì chúng tôi công khai tin tưởng công nghệ trước khi chúng tôi thậm chí tự hỏi liệu họ có thể bảo vệ chúng tôi khỏi bị tổn hại hay không.
LastPass là một dịch vụ làm mọi thứ có thể để đảm bảo rằng người dùng có thể tin tưởng nó bằng mật khẩu của họ - chính là chìa khóa cho sự tồn tại trực tuyến của họ. Nhưng với tất cả sự kính trọng đối với họ, chúng ta phải tự hỏi mình: nếu một ngày nào đó chúng ta không đủ may mắn cho một lỗi được vá trước khi nó bị khai thác? Điều gì sẽ xảy ra nếu một vấn đề không lường trước được trong mã ứng dụng cho phép tin tặc truy cập và xem tất cả thông tin của bạn trong phần mở?
Sự xâm nhập vào LastPass đã xảy ra trước đó, lần gần đây nhất là vào năm 2015. Sau đó, vào tháng 7 năm 2016, một tin tặc nhân từ hơn đã quyết định tiết lộ một lỗi có thể được khai thác cho công chúng.
Ý tưởng ở đây là bạn không bao giờ nên tự mãn. Chắc chắn, rất nhiều trong số những khai thác này được thừa nhận một chút hyped hơn họ nên được. Nhưng bạn nên nhận thức được thực tế rằng bạn đang bước vào lãnh thổ nguy hiểm mỗi khi bạn đưa một cái gì đó cá nhân cho một dịch vụ. Đôi khi lợi ích vượt quá nguy cơ, nhưng chỉ bạn mới có thể đưa ra quyết định đó khi bạn được thông báo đầy đủ về những gì bạn đang đăng ký.
Bạn có sử dụng trình quản lý mật khẩu không? Bạn cảm thấy thế nào về khả năng dịch vụ bạn đang sử dụng gặp phải vi phạm? Hãy cho chúng tôi biết trong một bình luận!