باگ نرم افزار LastPass به هکرها اجازه می‌دهد همه‌ی پسوردهای شما را سرقت نمایند

یک نقص بحرانی zero-day در نرم‌افزار محبوب مدیریت رمزعبور ابری LastPass کشف شده است که می‌تواند به هر هکر اجازه ی سوء استفاده از حساب کاربری شما را از راه دور بدهد.

یک نقص بحرانی zero-day  در نرم‌افزار  محبوب مدیریت رمزعبور  ابری LastPass کشف شده است که می‌تواند به هر هکر اجازه ی سوء استفاده از حساب کاربری شما را از راه دور بدهد.
LastPass یک نرم‌افزار مدیریت کلمه عبور است که به عنوان یک افزونه مرورگر در دسترس است و اعتبار نامه را به طور خودکار برای شما پر می‌کند. شما  تنها نیاز دارید یک کلمه عبور اصلی را برای باز کردن تمام کلمات عبور دیگر حساب های کاربری مختلف آنلاین‌تان به یاد داشته باشید که کار را برای شما خیلی آسان‌تر می‌کند نسبت به این که بخواهید از کلمات عبور منحصر به فرد برای سایت های مختلف استفاده کنید.با این حال، این نرم‌افزار مدیریت کلمه عبور به آن میزانی که وعده داده، امن نیست.
هکر پروژه Zero گوگل، تویس اورماندی، چندین مشکل امنیتی در این نرم‌افزار کشف کرد که به او اجازه‌ می‌داد کلمات عبور ذخیره شده با نرم‌افزار LastPass را سرقت نماید.
اورماندی در توییتر نوشت:” آیا مردم  واقعا از LastPass  استفاده می‌کنند؟ نگاه سریعی به این برنامه انداختم و دسته ای از مشکلات بحرانی واضح در آن دیدم که گزارشی از آن منتشر خواهم کرد.”

زمانی که حساب کاربری LastPass  قربانی مورد سواستفاده قرار می‌گیرد، هکرها قادر خواهند بود به تعداد زیادی از کلمه عبورهای کاربر که مربوط به سایر خدمات اینترنتی وی است ، دسترسی یابند. از آنجایی که LastPass در حال رفع آسیب پذیری zero-day  است،جزئیات فنی بیشتری در مورد خطاها توسط محققان فاش نشده است.

 

 

باگ قدیمی مشابه در نرم‌افزار مدیریت کلمه عبور LastPass  :

به طور تصادفی، محقق امنیتی دیگری به نام ماتیاس کارلسون اعلام کرد که چند باگ در نرم‌افزار LastPass  کشف کرده است که در حال حاضر توسط این شرکت وصله شده‌اند.همچنین وی گفت که یک URL خاص تقلبی برای در دست گرفتن کنترل کامل حساب‌های کاربری کافی است. طبق پستی که کارلسون در وبلاگش منتشر کرد، هکر می‌تواند یک URL تقلبی خاص برای قربانی ارسال کند و از این طریق کلمات عبور او را سرقت نماید.

این آسیب پذیری خاص در بخش عملکرد پر‌کردن خودکار افزونه مرورگر LastPass  مستقر است که یک عبارت منظم معیوب برای تجزیه‌ی URL به هکراجازه می‌دهد تا دامنه موردنظر را مورد سو‌ء استفاده قرار دهد.بنابراین با سو‌ء استفاده از عملکرد پرکردن خودکار، هکر می‌تواند با ارسال یک POC URL شامل facebook.com به قربانی،کلمه عبور فیس بوک وی را سرقت نماید.این آسیب پذیری در حال حاضر توسط این شرکت وصله شده است و به کارلسون بابت کشف این باگ 1000 دلار پاداش اعطا کرد.وجود چنین مشکلاتی در نرم‌افزارهای مدیریت کلمه عبور واقعا نگران کننده است اما این به معنی لزوم  متوقف کردن استفاده شما از این نرم‌افزارها نیست حتی این نرم‌افزارها شما را تشویق می‌کنند که از کلمه عبورهای پیچیده و منحصر به فرد برای هر سایت استفاده کنید.

به دنبال این باگ‌های امنیتی کشف شده،کاربران می‌توانند به جای استفاده از نرم‌افزارهای مدیریت کلمه عبور مبتنی بر مرورگر از نسخه‌های آفلاین مانند  Kee Pass استفاده نمایند.

 

 

به روزرسانی : LastPass  به سرعت آسیب پذیری گزارش شده توسط تویس اورماندی را وصله و یک به‌روز‌رسانی برای کاربران فایرفاکس که از LastPass4 استفاده می‌کنند، منتشر کرد.

LastPass  در وبلاگ خود  گفت:”باگ گزارش شده،تنها روی کاربران فایرفاکس تاثیر می‌گذارد.اگر شما از کاربران فایرفاکس هستید که از LastPass4 یا نسخه‌های قدیمی‌تر استفاده می‌کنید، به‌روزرسانی این نرم‌افزار در نسخه a  4.1.21 از طریق مرورگرتان منتشر شده است.”

 

 

 

منبع

 

کلمات کلیدی