Hlavní navigace

LastPass měl (opět) problém, útočníci mohli získávat hesla uživatelů

 Autor: LastPass
Daniel Dočekal 1. 8. 2016

Nepříjemná bezpečnostní chyba v prohlížečových rozšířeních pro LastPass umožňovala útočníkům získávat uložená hesla.

Tavis Ormandy, člen týmu u Googlu, který se věnuje vyhledávání chyb, minulý týden zjistil, že LastPass pro Firefox je možné zmást natolik, že vydá hesla pro určitou službu, aniž by uživatel na této službě aktuálně byl. Stačilo k tomu dostat uživatele na připravené webové stránky a požádat LastPass o automatické vyplnění hesla.

Detaily Ormandyho zjištění už jsou známy a dle očekávání jde o zneužití toho, jakým způsobem se LastPass vsunuje do stránek (hlavně do vstupních prvků). Podstatné na nové chybě je, že velmi podobná chyba byla objevena již před rokem a týkala se rozšíření pro Chrome (a byla také již před rokem napravena). 

LastPass v LastPass Security Updates uvádí, že opravena byla i čerstvě objevená chyba, a pokud používáte LastPass 4.0+, tak by už problém neměl existovat. Případná ruční instalace opravené verze je možná z lastpass.com/lastpassffx

WT100

Připomeňme, že LastPass měl v minulosti už více bezpečnostních problémů (viz například LastPass byl děravý, v případě pochybností si raději změňte heslo), včetně úniku dat (Správce hesel LastPass hlásí únik z databáze, změňte si heslo). Konkurenční správci hesel na tom nebyli o moc lépe.

Jedna z dobrých možností, jak se dalo zabránit zneužití v tomto případě, by bylo vypnutí automatického vyplňování hesel – mírná komplikace pro uživatele, který by zadávání hesel z LastPass musel vyvolávat přes menu. Vedle toho stále platí, že pro důležité služby byste vždy měli používat dvoufaktorové ověření přihlášení

Našli jste v článku chybu?
DigiZone.cz: Banaxi: videa kdekoli na světě

Banaxi: videa kdekoli na světě

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

120na80.cz: Na různou rýmu různá homeopatie

Na různou rýmu různá homeopatie

Podnikatel.cz: Nemá dluhy? Zjistíte to na poště

Nemá dluhy? Zjistíte to na poště

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Lupa.cz: Bude Google platit médiím za použití článků?

Bude Google platit médiím za použití článků?

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban