×

LastPass再曝多枚高危漏洞,用户账号信息存在被盗风险
  

mingke24 3080

{{ttag.title}}
本帖最后由 mingke24 于 2016-7-28 14:15 编辑

LastPass是全球最流行的云密码管理工具之一。这款工具主打用户的互联网账号和密码管理,和1Pass很相似。在PC端,用户可以使用LastPass提供的浏览器插件对自己的账号密码进行管理,在手机端则是APP。

   

LastPass除了对账号密码的自动化存储外,还针对某些厂商提供自动化修改密码的方案。LastPass甚至提供了前端的加密服务,以防遭到中间人攻击等。表面上听起来非常的安全靠谱,但是事实上真的如此吗?

2014年,就有几名安全专家说过,lastPass并没有想象中的那么安全。因为一旦LastPass的账号被盗或者注册邮箱被盗取,那么全部的互联网账号都不能幸免于难。
2015年,某黑客宣传入侵了LastPass的服务器,并且盗取了全部的数据库。尽管LastPass采用了前段的加密,但是仍然有破解的可能性。

   

多个安全漏洞

来自Google Project Zero的研究人员Tavis Ormandy目前发现了几个LastPass 0day漏洞。研究人员在Twitter上说到:真有人在用LastPass吗?我就随便看了几眼就发现几个漏洞……

LastPass目前已经紧急修补了该漏洞,也没有公开漏洞细节。这里有一些情况我们不得为知。

另外一名安全人员Mathias Karlsson,也发现了一个LastPass的漏洞:

LastPass根据域名自动填写好账号和密码。比如我浏览一个Google的页面,那么lastpass就会自动填写好账号和密码,我只需要登陆就行了。

如下图所示:

   

但是当我浏览了http://www.freebuf.com/@google.com/login.php ,原本它应该自动化填写好FreeBuf的账号和密码,但是它会把这段URL默认为Google的域名,并且填写Google的账号和密码。假设一台钓鱼服务器,在其网站目录下设置多个大厂商的静态登陆页面,只要LastPass访问该页面并且登陆后,账号和密码也就随之泄露。

命令执行漏洞

昨天晚上(2016/7/27),某位安全研究人员发现了一枚LastPass的命令执行漏洞。LastPass在信息通讯的过程中,会对JS代码做一个可信验证。但是这个并没有多大用。在本地JS代码上做一下修改即可完成一个不可惜通信的交流,甚至是命令执行。

下面这段javascript代码是监听message事件,messageType 的类型是打开url,然后url里的值是 java脚本。如果监听到了 message事件,那么就会弹出1,也可以执行其他脚本。


// 把我们自己编写的信息和合法的信息进行覆盖

    function modify_message(a) {

        a.data.messagetype = "openURL";

        a.data.url="javascript:alert(1)";

        // 清除EventListener

        window.removeEventListener("message", modify_message);

    }

    // 插入自己新建的标签

    window.addEventListener("message", modify_message);


总结

虽然LastPass爆出了很多的漏洞,但是这个并不代表密码管理器就是不安全的象征。互联网蓬勃发展的今天,人们少则十多个账号和密码,多则数百个。设置相似的密码则容易遭受到社会工程学盗号或者撞库攻击。密码管理器虽然已经问世,但是还有诸多的安全问题需要考虑。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

Sangfor_闪电回_小云 发表于 2016-7-28 14:27
  
感谢楼主分享~
deshine斌 发表于 2017-3-10 14:48
  
感谢楼主分享
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
新版本体验
【 社区to talk】
技术笔记
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人