Σφάλματα στις επεκτάσεις του προγράμματος περιήγησης LastPass επιτρέπουν στους χάκερς να πάρουν κωδικούς πρόσβασης
Στις αρχές του μήνα είδαμε εμπειρογνώμονες στον τομέα της ασφάλειας στον κυβερνοχώρο να βρίσκονται σε όπλα σε ό, τι αφορά τις διαρροές του Vault 7, όπου τα πάντα, από τα εργαλεία πειρατείας της CIA μέχρι την εξερεύνηση της "μαγείας των meme", βγήκαν στο WikiLeaks για να δουν ο κόσμος.
Μόλις περάσουν λίγες εβδομάδες και ο Μάρτιος συνεχίζει να είναι ένας γεμάτος δράση φάρος, καθώς τα σφάλματα στις επεκτάσεις του προγράμματος περιήγησης του LastPass θα επέτρεπαν στους χάκερς να αρπάξουν τους κωδικούς πρόσβασης από ανυποψίαστους χρήστες.
Τα ζουζούνια
Ένα σφάλμα στην επέκταση του Google Chrome του LastPass ανακαλύφθηκε τη Δευτέρα από τον Tavis Ormandy, μέλος του Project Zero της Google. Το πρώτο σφάλμα - το οποίο επιτρέπει στους hackers να γράψουν στον κώδικα, ενώ πειραματίζεται την επικοινωνία του υπολογιστή σας με τον διακομιστή στον οποίο συνδέεστε και αποκτάτε πρόσβαση στους κωδικούς πρόσβασής σας - μπορεί να βρεθεί σε αυτήν την αναφορά που περιέχει επίσης τον κώδικα απόδειξης της ιδέας, ενδιαφέρεστε.
Το άλλο σφάλμα που εντοπίστηκε από τον Ormandy ήταν στην επέκταση Firefox του LastPass έκδοση 3.3.2 (παλαιότερη, αλλά ακόμα πολύ δημοφιλής). Επιτρέπει στους χάκερ να εκτελέσουν μια καθολική δέσμη ενεργειών μεταξύ ιστοτόπων για να αποκαλύψουν τον κωδικό πρόσβασης ενός χρήστη μέσω ειδοποιήσεων.
Την Τρίτη η LastPass έκανε τον εσωτερικό τομέα υπηρεσίας υπεύθυνο για τη μεταφορά των στοιχείων ελέγχου ταυτότητας να φαίνεται ανύπαρκτος (π.χ. NXDOMAIN-ing) ενώ διερεύνησαν το πρόβλημα, και στη συνέχεια δημοσίευσαν μια ανακοίνωση την Τετάρτη λέγοντας ότι διορθώθηκαν τα προβλήματα στην επέκταση του Chrome.
Όσον αφορά την επέκταση του Firefox, το άφησαν όπως είναι από τότε που το branch 3.x θα αποσυρθεί τον Απρίλιο ούτως ή άλλως. Για να είμαστε σαφείς, αυτό δεν είναι μια κατηγορία. Έχουν δηλώσει ανοιχτά στην ανακοίνωσή τους: " Αυτό το σφάλμα αναφέρθηκε στην ομάδα μας πέρυσι και καθορίστηκε εκείνη την εποχή. Ωστόσο, η επιδιόρθωση δεν προωθήθηκε στον κλαδικό Firefox 3.3.x παλαιού τύπου. αυτό το υποκατάστημα έχει προγραμματιστεί για επίσημη συνταξιοδότηση τον Απρίλιο. "
Τι πρέπει να κάνετε
Αν χρησιμοποιείτε τις υπηρεσίες του LastPass, σας προτείνω να βεβαιωθείτε ότι οι επεκτάσεις του προγράμματος περιήγησης είναι όσο το δυνατόν πιο ενημερωμένες. Εκτός από αυτό, δεν υπάρχει άμεση απειλή να ανησυχείτε. Γενικά, πρέπει να το κάνετε αυτό με όλες τις επεκτάσεις σας. Από προεπιλογή, τόσο το Chrome όσο και ο Firefox θα προβάλλουν αυτές τις ενημερώσεις για εσάς, οπότε αν έχετε εξαιρεθεί, ίσως τώρα είναι μια καλή στιγμή να δώσετε μια δεύτερη σκέψη.
Υπάρχει μεγαλύτερη ανησυχία, αν και ...
Το ότι αυτό δεν θα κερδίσει σίγουρα κανένα σημείο στο κλίμα της βιομηχανίας του σήμερα, αλλά πρέπει να πούμε: η ευκολία και η ασφάλεια είναι συνήθως μια διχοτόμηση. Ένας από τους πιο άπληστους σχολιαστές μας έκανε παρόμοια δήλωση νωρίτερα, όταν αναφέρθηκε στις διαρροές της CIA Vault 7.
Καθώς πλησιάζουμε περισσότερο την προσωπική μας πληροφορία κ.λπ. με την τεχνολογία που χρησιμοποιούμε, δίνουμε στους χάκερς έναν ακόμη τρόπο να μας συμβιβαστούν. Οι παραβιάσεις συμβαίνουν διότι ανοιχτά εμπιστευόμαστε τις τεχνολογίες προτού καν αναρωτηθούμε αν είναι σε θέση να μας προστατεύσουν από βλάβες.
Το LastPass είναι μια υπηρεσία που κάνει ό, τι μπορεί για να βεβαιωθεί ότι οι χρήστες της μπορούν να την εμπιστευτούν με τους κωδικούς τους - τα ίδια τα κλειδιά για την ύπαρξη τους στο διαδίκτυο. Αλλά με όλο τον σεβασμό σε αυτούς, πρέπει να αναρωτηθούμε: τι θα συμβεί αν κάποια μέρα δεν είμαστε αρκετά τυχεροί για να διορθωθεί ένα σφάλμα πριν γίνει εκμετάλλευση; Τι θα συμβεί αν ένα απρόβλεπτο πρόβλημα στον κώδικα εφαρμογής επιτρέπει σε έναν χάκερ να εισέλθει και να δει όλες τις πληροφορίες σας έξω έξω;
Οι εισβολές στο LastPass έχουν συμβεί πριν, το πιο πρόσφατο είναι το 2015. Μετά από αυτό, τον Ιούλιο του 2016, ένας πιο καλοπροαίρετος χάκερ αποφάσισε να αποκαλύψει ένα σφάλμα που θα μπορούσε να εκμεταλλευτεί στο κοινό.
Η ιδέα είναι ότι δεν πρέπει ποτέ να είστε εφησυχασμένος. Σίγουρα, πολλά από αυτά τα εκμεταλλεύματα είναι βεβαίως πιο προωθημένα από ό, τι θα έπρεπε. Αλλά πρέπει να γνωρίζετε το γεγονός ότι περπατάτε σε επικίνδυνο έδαφος κάθε φορά που δίνετε κάτι προσωπικό σε μια υπηρεσία. Μερικές φορές το όφελος αντισταθμίζει τον κίνδυνο, αλλά μόνο εσείς μπορείτε να κάνετε αυτήν την αποφασιστικότητα μόλις είστε πλήρως ενημερωμένοι για αυτό που εγγραφείτε.
Χρησιμοποιείτε έναν διαχειριστή κωδικών πρόσβασης; Πώς αισθάνεστε για τη δυνατότητα της υπηρεσίας που χρησιμοποιείτε να βιώνετε μια παραβίαση; Πείτε μας σε ένα σχόλιο!