LastPass har en haug av kritiske problemer der minst en kan angripere å invadere password manager er et eksternt i henhold til Google forsker Tavis Ormandy.
LastPass er en av de mest populære online-passord management services på dagens Internett. Tjenesten tilbyr utvidelser for ulike nettlesere, mobile apps, og dedikerte løsninger for ulike operativsystemer og enheter.
En full rapport ble sendt til LastPass av Tavis Ormandy, og det ser ut til at selskapet arbeider med å analysere og løse problemer i skrivende stund.
Problemene har ikke offentliggjort ennå. Selv om det er den riktige tingen å gjøre frem til de er faste, betyr det at LastPass brukere ikke vet om problemet kan bli redusert til en løsning er tilgjengelig.
Oppdatering: LastPass gitt ut en sikkerhetsoppdatering for Firefox add-on. Ifølge et blogginnlegg på det offisielle nettstedet, kan en angriper kunne lokke en LastPass brukeren til et ondsinnet webområde for å utføre LastPass handlinger i bakgrunnen uten at brukeren vet om dem. Dette har vært løst i LastPass for Firefox 4.0.
Ytterligere informasjon om det rapporterte problemet er tilgjengelige på Prosjektet Null forum over på Chromium.org.
LastPass Eksternt kan Invadere et sikkerhetsproblem
Den eneste informasjonen som er gitt er følgende to tweets:
Er folk virkelig bruker denne lastpass ting? Jeg tok en rask titt, og du kan se en haug av åpenbare kritiske problemer. Jeg vil sende en rapport asap.
Full rapport sendt til LastPass, de jobber med det nå. Ja, det er en komplett ekstern kompromiss. Ja, jeg lover at jeg skal se på 1Password.
Med tanke på at det er uklart om funksjoner, for eksempel to-faktor autentisering eller bruk av annen sikkerhet add-ons til å beskytte brukere og data fra angrep. Faktisk, det er ikke engang klart om LastPass’ nettverk og infrastruktur, nettleserutvidelse, mobile apps eller andre produkter som blir berørt av sårbarheten.
Det kan godt være at det bare kikker forlengelsen er berørt, med tanke på at det er mest sannsynlig at Tavis tok en titt på grunn av sin tilgjengelighet for Chrome-nettleseren.
Sikkerhet forsker angi sitt syn på den neste password manager, 1Password som er opp neste ifølge en Twitter-melding.
Passord ledere lagre viktige data. Dette gjør dem til en av de viktigste programmene for en bruker, og et lukrativt mål for angripere.
Det offentliggjort sikkerhetsproblem er ikke den første hendelsen i LastPass’ historie. I 2015, LastPass bekreftet at det oppdaget mistenkelig aktivitet på selskapets nettverk. Bare nylig et annet problem som ble rapportert og fast som gjorde det mulig for angripere å utvinne passord ved hjelp av utvidelsen autofyll-funksjonalitet.
LastPass er vanligvis svært responsiv og rask når det kommer til oppdatering av security problemer som påvirker selskapets produkter. Vi vil oppdatere artikkelen når ny informasjon kommer til lys.