|
用密码管理器LastPass的漏洞可以把控制权交给黑客,灰鸽子,灰鸽子远程控制软件
该漏洞需要诱使用户访问恶意网站
即使密码管理器LastPass可以愚弄。一位谷歌安全研究人员已经找到了一种方法来远程劫持软件。
它先引诱用户到恶意网站。然后,该网站将利用一个Firefox浏览器的一个漏洞LastPass的插件,让它在密码管理软件控制。
LastPass写的漏洞在星期三说,修复已是为Firefox用户。
谷歌安全研究Tavis Ormandy first发现的问题。当检查密码管理器,他在星期二说,“人们真的使用LastPass的事吗?我看了一眼,可以看到一堆明显的关键问题。我会尽快发一份报告。”
与LastPass的任何漏洞可能给用户带来很大的风险。流行的软件应该安全地存储和自动填充所有的密码的用户有不同的网站。
Ormandy并不是唯一的安全研究人员发现密码管理的缺陷。上星期三,在Detectify实验室的Mathias Karlsson说他还设法破解LastPass–在这种情况下,盗取用户的密码。
他这样做是利用密码管理器的浏览器扩展的一个错误,卡尔森在一篇博客文章中写道。
通常,LastPass的浏览器扩展营密码的用户访问某些网站。然而,卡尔森注意到,延伸到每个网站访问添加一些HTML代码。此代码是用来分析网站的地址,以确定该域名,然后填写所需的密码。
问题是,HTML代码可以被欺骗。该扩展将自动填充用户的密码,即使它不是访问正确的网站。
卡尔森利用这个bug,并伪造了一个网址,让LastPass的浏览器扩展以为它是访问推特。扩展的推特然后自动填入密码进入网站。
黑客可以利用这个漏洞,通过建立一个恶意网站,诱骗LastPass的用户访问它。该网站可以秘密收集密码。
卡尔森说在一年前的错误,这个问题已经被修复,据LastPass。它指出漏洞需要黑客诱骗用户进入他们的工作访问恶意网站。
该公司建议用户在观看网络钓鱼攻击,可以发送到不好的网站链接。
|
|