یک آسیبپذیری روز-صفرم در برنامه مدیریت گذرواژهی ابری معروف LastPass کشف شده است که به هر مهاجم راه دور اجازه میدهد از حساب کاربران سوءاستفاده کند.
برنامه LastPass یک برنامه مدیریت گذرواژه است که بهصورت افزونه مرورگر نیز وجود دارد و میتواند اعتبارات را بهطور خودکار برای کاربر وارد نماید.
تنها کاری که کاربر باید انجام دهد این است که یک گذرواژه اصلی را به ذهن بسپارد؛ این گذرواژه تمامی کلمات عبور حسابهای اینترنتی مختلف را قفل میکند و امکان استفاده از کلمات عبور منحصربهفرد برای وبگاههای مختلف را آسانتر میکند.
اما این برنامه مدیریت گذرواژه آنطور که ادعا میکند ایمن نیست.
پژوهشگر پروژه Zero گوگل، تاویس اورماندی چندین حفره امنیتی در این نرمافزار شناسایی کرده است که به وی اجازه میدهد کلمات عبور ذخیره شده با LastPass را به سرقت ببرد.
اورماندی در توییتر نوشت: «آیا واقعاً مردم از LastPass استفاده میکنند؟ با نگاهی که به این برنامه انداختم، دستهای از حفرههای بحرانی در آن پیدا کردم و گزارشی از آن نیز منتشر خواهم کرد».
نفوذگر با رخنه بهحساب LastPass یک قربانی، میتواند به دیگر کلمات عبور خدمات و وبگاههای اینترنتی متعلق به قربانی نیز دسترسی یابد.
چون LastPass در حال کار بر روی وصله این حفرههاست، جزئیات فنی این خطاها و آسیبپذیریها منتشر نشده است.
حفره قدیمی مشابهی در برنامه مدیریت گذرواژه LastPass:
بهطور تصادفی محقق امنیتی دیگری به نام متیاس کارلسان نیز اطلاع داد که چند حفره در نرمافزار LastPass کشف کرده است که در حال حاضر توسط این شرکت وصله شدهاند.
به گفته این محقق یک URL مخصوص برای به دست گرفتن کنترل کامل حسابهای کاربران کافی است.
طبق گزارشی که کارلسان امروز در یک وبگاه منتشر کرد، مهاجم میتواند یک URL مخصوص به قربانی بفرستد و کلمات عبور وی را به سرقت ببرد.
این آسیبپذیری ویژه در دستورالعمل پر کردن خودکار افزونه مرورگر LastPass قرار دارد که در آن یک عبارت معین ناقص برای تجزیه URL به مهاجم اجازه میدهد که دامنه موردنظر را به سرقت ببرد.
بنابراین نفوذگر با سوءاستفاده از این آسیبپذیری تکمیل خودکار میتواند به طور مثال با ارسال یک POC URL حاوی facebook.com، گذرواژه فیسبوک قربانی را به سرقت ببرد. این شرکت در حال حاضر این حفره را وصله و به کارلسان بابت کشف این آسیبپذیری مبلغ ۱۰۰۰ دلار پاداش اعطا شده است. وجود حفره در چنین برنامههای مدیریت گذرواژه واقعاً نگرانکننده است، اما این بدین معنا نیست که از این برنامهها نباید استفاده کرد. حتی این نرمافزارها کاربران را تشویق به استفاده از کلمات عبور پیچیده و منحصربهفرد برای هر وبگاه میکند.
به دنبال این حفرههای تازه کشف شده، کاربران بهجای استفاده از برنامههای مدیریت گذرواژه مبتنی بر مرورگر میتوانند از نسخههایی استفاده کنند که نیازی به وصل شدن به اینترنت ندارند مانند keePass.
بهروزرسانی: LastPass بهسرعت این آسیبپذیری گزارششده توسط تاویس اورماندی را وصله و یک بهروزرسانی برای کاربران فایرفاکس که از LastPass نسخه ۴ استفاده میکنند، منتشر کرد.
LastPass در گزارشی گفت: «این آسیبپذیری تنها روی کاربران فایرفاکس تأثیر میگذارد؛ و اگر کاربران از نسخه ۴ LastPass یا نسخههای قبلی آن استفاده میکنند، نسخه بهروزرسانی این نرمافزار یعنی ۴.۱.۲۱a از طریق مرورگرشان منتشرشده است».