Aplikacje pozwalające na przechowywanie haseł w bezpiecznej i szyfrowanej formie znajdują kolejnych zadowolonych użytkowników. Niestety, podobnie jak każde inne oprogramowanie, menedżery haseł zawierają błędy. Jeden z nich został ostatnio znaleziony w popularnym LastPass.
Producent wydał już poprawkę
Na wstępie warto zaznaczyć, że luka nie występuje już w najnowszej wersji oprogramowania. Twórcom udało się załatać znaleziony błąd. Należy więc jak najszybciej pobrać aktualizację, bowiem konsekwencje używania LastPass z luką mogą być poważne.
Błąd został odkryty przez Tavisa Ormandy’ego, badacza pracującego w zespole Google Project Zero. Następnie informacje u luce znalazły się w raporcie, który 29 sierpnia przekazano firmie pracującej nad LastPass. Odpowiednia łatka wydana została natomiast 13 września.
LastPass could leak the last used credentials due to a cache not being updated. This was because you can bypass the tab credential cache being populated by including the login form in an unexpected way! https://t.co/bfLdDzSWS5
— Tavis Ormandy (@taviso) September 16, 2019
Producent menedżera haseł rozpoczął wdrażanie aktualizacji w każdej wersji LastPassa dla przeglądarek internetowych. Aktualizacja powinna być już pobrana i wprowadzona automatycznie.
Mimo iż LastPass twierdzi, że aktualizacja powinna automatycznie pojawić się u użytkowników, to warto ręcznie sprawdzić, czy posiadamy najnowszą wersję oprogramowania. Błąd nie występuje w wersji 4.33.0 i nowszej.
Luka zagrażała hasłom
Znaleziony błąd pozwalał złośliwym witrynom na wyciąganie ostatnio używanych haseł z rozszerzenia LastPass zainstalowanego w przeglądarce internetowej. Przykładowo, mogły to być dane logowania do Facebooka, poczty internetowej czy innych usług.
Tavis Ormandy zwraca uwagę, że atakujący mogli wykorzystać kilka sztuczek, aby zwabić nieświadomego użytkownika na spreparowaną stronę internetową. Adres złośliwej strony mógł przykładowo zostać ukryty za pomocą Tłumacza Google.
Firma rozwijająca LastPass dodaje, że według niej luka dotyczy rozszerzona używanego w przeglądarce Google Chrome i Opera. Mimo tego, jako środek zapobiegawczy, podjęto decyzję o wdrożeniu tej samej poprawki do innych wspieranych przeglądarek internetowych.
Menedżer haseł to więc zły wybór?
Nie jest to rozwiązanie idealne, ale jeśli mamy do czynienia z dobrym oprogramowaniem, to może okazać się naprawdę bezpieczne. Po pierwsze, menedżer haseł pozwala na stosowanie bardziej rozbudowanych i unikatowych haseł w wielu usługach. Po drugie, odczuwalnie zwiększa on wygodę logowania – nie musimy ręcznie wprowadzać danych, a także pamiętać każdego loginu i hasła. Ponadto, wybrane usługi przechowywania haseł zapewniają synchronizację danych logowania pomiędzy różnymi urządzeniami.
źródło: The Verge
