如果您是 LastPass 用户,请务必在下次登录时检查您设置主密码的位置。因为这可能是网络钓鱼尝试。
值此大会召开之际2016年国际汽配展安全研究员肖恩·卡西迪 (Sean Cassidy) 解释说,在网络浏览器上实施此类攻击并不是很复杂,他在 Google Chrome 上进行了演示。
名为“LostPass”的攻击首先基于 LastPass 编程接口中的“跨站点请求伪造”(CSRF)类型缺陷。现在已修复,它允许任何网站从该密码管理器中注销用户。因此,攻击者可以创建具有此功能的网站,然后在浏览器窗口中显示相应的通知横幅(“您的 LastPass 会话已过期。请重新登录。”)。
阅读:Black Hat 2015:他们入侵了著名的密码管理器 LastPass
如果用户上当,攻击者会向他提供身份验证屏幕的完美副本,以恢复凭据并立即连接到 LastPass。如果后者请求第二个身份验证因素,没问题:攻击者还可以提供正确的屏幕来检索第二个密码。宾果,他可以访问整个密码数据库。
在最后的步骤中,虽然很难发现,但细心的用户可能会注意到盆栽玫瑰,因为 URL 不正确。
在 Firefox 上,攻击的实施更为复杂。通知和登录屏幕不会出现在浏览器 HTML 页面中,而是出现在单独的窗口中,其外观取决于操作系统。然而,制造一个或多或少令人信服的诱饵也并非不可能。“我做了一个实验版本[攻击的内容]适用于 OS X 和 Windows 8 上的 Firefox »,强调安全研究人员一篇博文。
一系列对策
经 Sean Cassidy 联系后,LastPass 修复了 CSRF 缺陷。然而,这还不够,因为用户很可能没有注意到他们仍然处于登录状态并且仍然被愚弄。出版商因此建立一个系统如果用户将主密码插入不属于 LastPass 的网页,它会自动提醒用户。它还将其电子邮件验证程序推广到来自未知 IP 地址或终端的任何连接尝试,无论用户是否具有两步身份验证。“这大大削弱了攻击,但并没有消除它”,肖恩·卡西迪(Sean Cassidy)的估计,但没有提供进一步的细节。
