Os sistema de proteção de senhas da LastPass pode revelar dados de autenticação se sujeito a determinado ataque, conforme comprovou o CFO da Praesidio, Sean Cassidy, na conferência Shmoocon, no último Sábado.
O ataque é relativamente simples. As notificações exibidas pela versão 4.0 da LastPass nas janelas do browser podem ser falsificadas, levando as pessoas a revelarem os seus dados de autenticação. Os atacantes podem ter acesso à password central para aqueles dados, de acordo com o responsável.
A Praesidio disponibilizou uma ferramenta no GitHub, chamada LostPass, que mostra como um intruso poderá falsificar alertas do LastPass e eventualmente, enganar o usuário de modo a este revelar os dados de autenticação.
Em seu blog, o CFO da Praesidio explica como a empresa alerta os usuários quando estes são desligados da aplicação. Mas o aviso é mostrado através de uma janela do browser e o mesmo alerta pode ser criado e desencadeado por um atacante, atraindo a vítima para um site nocivo.
Para a prova de conceito do seu ataque, o responsável comprou o “chrome-extension.pw”. No caso de haver uma ofensiva e a autenticação de dois fatores estiver ativada, o “token” de acesso também pode ser roubado.
Nessa situação, todas as passwords da vítima podem ser recolhidas usando a API do LastPass diz Cassidy.
Cassidy já notificou a LastPass e em uma mensagem em seu blog oficial, a empresa disse já ter realizado melhorias que deverão dificultar o roubo sem que o usuário saiba.
Ataque de crackers à LastPass pode ter revelado passwords
Reviewed by Consultor de Segurança Eletrônica
on
10:00:00
Rating:
Reviewed by Consultor de Segurança Eletrônica
on
10:00:00
Rating:
Nenhum comentário: