Обнаружена уязвимости в популярных менеджерах паролей

Исследователи сообщили о серии уязвимостей в 5 популярных менеджерах паролей, по словам ученых, они осуществили ряд атак на LastPass, RoboForm, My1Login, PasswordBox и NeedMyPassword. Взломав 4 из 5 программ, ученым удалось получить учетные данные пользователей к произвольным сайтам.

Исследователи обнаружили уязвимости как в функции генерации одноразовых и общих паролей, так и в букмарклетах. Причины их возникновения различны – от логических ошибок и ошибок авторизации, до некорректных моделей web-безопасности. В добавок к этому ученые также обнаружили бреши, позволяющие осуществлять атаки межсайтового скриптинга и межсайтовой подделки запросов.

Успешная эксплуатация уязвимости в опции букмарклетов в LastPass, позволяющей интеграцию с Safari на iOS, возможна в случае, если злоумышленнику удастся заставить пользователя запустить Java-код на сайте атакующего. Например, кардер может создать поддельный сайт для online-банкинга и таким образом заставить незначительное количество (менее 1%) пользователей LastPass использовать букмарклеты для входа. Благодаря чему злоумышленник получит доступ к учетным данным, хранящимся в менеджере паролей.

Еще одна CSRF-уязвимость затрагивает функцию генерации одноразовых паролей в LastPass. Данная брешь позволяет атакующему видеть, в каких приложениях и устройствах используется эта программа, а также похищать зашифрованные пароли для последующего брутфорса.