Специалист по информационной безопасности Шон Кессиди
обнаружил уязвимость в популярном менеджере паролей LastPass и придумал для неё название - «LostPass». Для того, чтобы продемонстрировать уязвимость, специалист создал специальный инструмент.
Дело в том, что LastPass при определенных условиях показывает пользователю уведомление о том, что сессия истекла и необходимо снова залогиниться. Если злоумышленник будет использовать на определенного рода ресурсах поддельные уведомления, двухфакторная аутентификация пользователю не поможет - его аккаунт будет скомпрометирован. Поддельная форма, выглядящая так же, как и обычная форма для ввода учетных данных LastPass, может обмануть многих, тем более, что и адрес у нее будет схож с техническим url сервиса.
В результате атакующий без проблем сможет верифицировать полученные данные, а в некоторых случаях - запросить код двухфакторной аутентификации, используя LastPass API. Интересно, что работает все это только в браузере Chrome. В других браузерах используется несколько иной способ вывода уведомлений сервиса.
По словам Кессиди, он уже обратился к разработчикам сервиса, и получил от них ответ о том, что это не уязвимость, а
фишинг. По мнению специалиста, если представители компании не изменят принцип вывода уведомлений в Chrome, пользователи LastPass будут подвергаться опасности. Для того, чтобы не утерять свои данные, Кессиди советует использовать ввод данных на странице сервиса. Кроме того, хорошим выходом является аутентификация через приложение.
Защитить же себя довольно просто. Если у вас есть подозрение на фишинг, то обратите внимание на адресную строку в Google Chrome. Если страница расширения начинается с chrome-extension://, то всё нормально, а если chrome-extension.pw://, то вероятнее всего есть угроза фишинг-атаки.
В Firefox есть другое отличие. Фишинговое окно встраивается в саму страницу, а расширение LastPass создаёт отдельное окно, которое можно перемещать по экрану.
В общем, будьте осторожны!