Помилка у LastPass стала причиною витоку паролів

Компанія-виробник менеджера паролів LastPass випустила оновлення минулого тижня, щоб виправити помилку безпеки, яка дозволяє витік облікових даних, введених на раніше відвіданому сайті.

Помилку було виявлено минулого місяця Тавісом Орманді, дослідником з безпеки проекту Project Zero –  елітної команди з безпеки та пошуку помилок Google, повідомляє  ZDNet.

Команда LastPass, який вважається найпопулярнішим додатком для керування паролями сьогодні, виправила критичну помилку у оновленні до версії 4.33.0, який випустила минулого тижня (12 вересня). Якщо користувачі не ввімкнули механізм автоматичного оновлення для своїх розширень браузера LastPass або мобільних додатків, рекомендується виконати оновлення вручну якомога швидше.

Адже буквально вчора Орманді опублікував подробиці про виявлений недолік у безпеці менеджера паролів. Звіт про помилку настільки докладний, що він проводить зловмисника крок за кроком по шляху, необхідному для відтворення помилки. Оскільки помилка покладається на виконання лише шкідливого коду JavaScript, без жодної іншої взаємодії з користувачем, помилка вважається небезпечною та потенційно такою, що може бути масово реалізована кіберзлочинцями.

Зловмисники можуть заманювати користувачів на шкідливі сторінки та використовувати вразливість для вилучення облікових даних, введених на раніше відвідуваних сайтах. За словами  Тавіса Орманді, насправді це ще простіше, ніж він описав,- тому що зловмисник може легко замаскувати шкідливе посилання за URL-адресою Google Translate, провокувати користувачів на відвідування посилання та витягувати облікові дані з раніше відвіданого сайту.

“Я думаю, що справедливо називати це все “помилкою вищого ступеня”, навіть якщо вона не працюватиме для всіх  URL-адрес”, – сказав Орманді.

Оскільки вразливість була виявлена, а потім про неї повідомили у Google у приватному порядку, немає причин вважати, що помилка вже використовувалася в реальності.

Як і будь-які інші програми, менеджери паролів іноді вразливі до помилок, які у всіх випадках врешті -решт будуть виправлені. Незважаючи на цю вразливість, користувачам все ж рекомендується використовувати менеджери паролів, якщо є потреба. Користуватися менеджером паролів у багато разів краще, ніж залишати паролі, що зберігаються всередині браузера, звідки їх можна легко витягти за допомогою криміналістичних інструментів та зловмисного програмного забезпечення.

Ефективність LastPass щодо збереження паролів від сторонніх очей була доведена цього літа, коли компанія не змогла відповісти на юридичні вимоги Адміністрації з питань контролю за наркотиками США (DEA). Поліцейські наказали компанії передавати інформацію про користувача, наприклад паролі та домашню адресу, але представники компанії не змогли виконати замовлення, оскільки дані були зашифровані, і вони не мали доступу до них.

До речі, Google представила можливість автоматичного створення резервних копій на Android, якою зможуть скористатися передплатники хмарного сервісу Google One.

Нагадаємо, Apple часто називала свою мобільну операційну систему однією з найбільш захищених і безпечних, але хакерам вже вдалося знайти серйозну уразливість в одній з останніх бета-версій iOS 13.

Також багато людей вважають, ніби програмні продукти Apple безпечніші, ніж інші, однак, як показують дані телеметрії за перше півріччя 2019 року, “яблучна” екосистема все більше цікавить кіберзлочинців.

Стало відомо, що зловмисники можуть використовувати справжні файли Microsoft Teams для виконання шкідливого ​​навантаження за допомогою підробленої папки встановлення.

Режим “Інкогніто” у браузерах надає належний рівень конфіденційності без додаткових зусиль. Він потрібен не лише для того, щоб браузер “не запам’ятовував” сайти, які Ви відвідали. Крім історії відвідувань, браузер не зберігає введені паролі і логіни, не зберігає файли cookies і не вивантажує дані сайтів в кеш. Всі ці три пункти містять конфіденційну інформацію про Вас і Ваші екаунти. А це завжди ласий шматочок для зловмисників. Як увімкнути конфіденційний режим у Chrome, Firefox, Opera, Internet Explorer, Microsoft Edge і Safari на різних платформах, читайте у статті.

Нещодавно дослідники з кібербезпеки виявили існування нової та раніше не виявленої критичної вразливості на SIM-картах, яка могла б давати можливість віддаленим зловмисникам компрометувати цільові мобільні телефони та шпигувати за жертвами, лише надсилаючи SMS.

Зверніть увагу, Cybercalm писав, що у месенджері Telegram існував баг, який давав можливість віддалено видаляти вміст з пристроїв одержувачів. Тепер Telegram вирішив проблему з конфіденційністю та винагородив дослідника, який знайшов прогалину у безпеці.

Нові iPhone у майбутньому матимуть не лише новий дизайн, але й підекранний сканер відбитків пальців. Однак, як стало відомо, Apple працює над абсолютно новим способом біометричної ідентифікації для своїх пристроїв.

Після того, як на Вашому смартфоні оселиться вірус, він починає “поводитись дивно”. Є ряд непрямих ознак, які свідчать про те, що Ваш девайс містить небажане програмне забезпечення. З цієї статті Ви дізнаєтесь, як без спеціальних програм знайти та видалити його.