Hlavní navigace

LastPass měl (opět) problém, útočníci mohli získávat hesla uživatelů

 Autor: LastPass
Daniel Dočekal 1. 8. 2016

Nepříjemná bezpečnostní chyba v prohlížečových rozšířeních pro LastPass umožňovala útočníkům získávat uložená hesla.

Tavis Ormandy, člen týmu u Googlu, který se věnuje vyhledávání chyb, minulý týden zjistil, že LastPass pro Firefox je možné zmást natolik, že vydá hesla pro určitou službu, aniž by uživatel na této službě aktuálně byl. Stačilo k tomu dostat uživatele na připravené webové stránky a požádat LastPass o automatické vyplnění hesla.

Detaily Ormandyho zjištění už jsou známy a dle očekávání jde o zneužití toho, jakým způsobem se LastPass vsunuje do stránek (hlavně do vstupních prvků). Podstatné na nové chybě je, že velmi podobná chyba byla objevena již před rokem a týkala se rozšíření pro Chrome (a byla také již před rokem napravena). 

LastPass v LastPass Security Updates uvádí, že opravena byla i čerstvě objevená chyba, a pokud používáte LastPass 4.0+, tak by už problém neměl existovat. Případná ruční instalace opravené verze je možná z lastpass.com/lastpassffx

Připomeňme, že LastPass měl v minulosti už více bezpečnostních problémů (viz například LastPass byl děravý, v případě pochybností si raději změňte heslo), včetně úniku dat (Správce hesel LastPass hlásí únik z databáze, změňte si heslo). Konkurenční správci hesel na tom nebyli o moc lépe.

Jedna z dobrých možností, jak se dalo zabránit zneužití v tomto případě, by bylo vypnutí automatického vyplňování hesel – mírná komplikace pro uživatele, který by zadávání hesel z LastPass musel vyvolávat přes menu. Vedle toho stále platí, že pro důležité služby byste vždy měli používat dvoufaktorové ověření přihlášení

Našli jste v článku chybu?
Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte