Уязвимость LastPass сливала последние использованные учетные данные

Уязвимость LastPass сливала последние использованные учетные данные

В популярном менеджере паролей LastPass нашли уязвимость, которая позволяла выкрасть учётные данные, использованные для входа на последнем веб-сайте.

Задействовать этот баг в атаке можно было в браузерах Google Chrome и Opera. Помимо этого, атакуемого пользователя надо было заставить выполнить несколько шагов.

О проблеме сообщил Тэвис Орманди. По его словам, злоумышленник мог создать определённый сценарий кликджекинга для пользователя LastPass.

Упрощённо схема выглядит так: жертву заставляют произвести вход на определённом ресурсе, а затем ее заманивают на вредоносный или скомпрометированный сайт, на котором загружается специальный iframe.

Орманди направил разработчикам LastPass технические детали уязвимости, используя которую киберпреступники могут собрать последние учётные данные.

Такая атака увенчается успехом в том случае, если все действия совершаются в одной вкладке браузера. В случае внедрения вредоносного iframe запускается цепочка верификации, а затем происходит утечка последних кешированных данных, подставленных в поле «пароль».

«Таким образом, благодаря кликджекингу происходит утечка учётных данных, используемых на предыдущем сайте», — объяснил Орманди в отчёте.

Компания уже выпустила обновлённые версии расширения LastPass.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новая функция Google Chrome вызвала вопросы по части конфиденциальности

С выходом Chrome 80 Google внедрил новую функцию, позволяющую создавать ссылку на конкретное слово или фразу в тексте веб-страницы. Разработчики браузера Brave считают, что нововведение ставит под угрозу конфиденциальность пользователей.

Чтобы задействовать описанную выше функцию, получившую имя «ScrollToTextFragment», пользователи должны создать ссылку вида:

https://example.com#:~:text=prefix-,s начало текста,конец текста,-suffix

В этом случае при переходе по URL в таком формате пользователи Chrome увидят подсвеченную в тексте фразу. На первый взгляд может показаться, что каждый раз формировать такую ссылку очень неудобно, однако один из разработчиков браузера от Google создал инструмент, облегчающий эту задачу.

Вот пример такой ссылки — http://en.wikipedia.org/wiki/Xkcd#:~:text=man%20with%20a%20beret. Если у вас установлен Chrome 80, попробуйте пройти по ней — вы должны увидеть подсвеченную фразу в тексте:

Это весьма полезная функция, поскольку помогает человеку указать на конкретное место на всей веб-странице. Однако Питер Снайдер, разработчик браузера Brave, полагает, что Google не учёл риски нововведения перед введением его в эксплуатацию.

Снайдер заявил, что ScrollToTextFragment может позволить атакующему вычислить, имеется ли на определённой веб-странице конкретный текст.

«Представьте ситуацию: я могу просматривать DNS-трафик, отравляю ссылку на сайт компании, посвящённый вопросам здоровья, с приставкой #:~:text=cancer, что в итоге позволит мне вычислить, болен ли определённый сотрудник онкологией», — пишет Снайдер.

Таким же образом, по мнению разработчика, можно определять, находится ли в друзьях пользователя конкретные люди на площадках социальных сетей.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru