התוסף ששומר לכם על הסיסמאות נרדם בשמירה

שתי פרצות חמורות בתוכנה לזכירת סיסמאות אפשרו להאקרים לקבל את כל הסיסמאות שלכם כמעט בלי מאמץ

קרדיט תמונה: Richard Newstead, Getty Images Israel

קרדיט תמונה: Richard Newstead, Getty Images Israel

נכתב על-ידי יאיר מור

כאילו שלא מספיק קשה לנו גם ככה עם כל העסק הזה של הסיסמאות ברשת, אמש (ד’) התברר שגם מי שאמור להקל עלינו ולמור לנו על הסיסמאות לא עושה עבודה מספיק טובה. צוות LastPass הודה כי בתוכנה שלו נמצאו שתי פרצות חמורות שדרכן יכלו האקרים לגנוב את כל הסיסמאות של המשתמשים.

LastPass הוא תוסף שזמין לכל הדפדפנים הפוופולאריים למחשבים, ושומר את כל הסיסמאות שלכם כך שבכל פעם שתנסו להיכנס לאתר כלשהו הוא יזין במקומכם את הפרטים. אלא שמסתבר שלא רק אתם יכולים לקבל מהתוסף את שמות המשתמש והסיסמאות שלכם.

הפרצה החמורה הראשונה בתוסף נמצאה על ידי מתיאס קרלסון מ-Detectify Labs, לפני יותר משנה, ונחשפה רק אתמול. חוקר האבטחה השוודי בן ה-24 מצא שכדי להזין את הסיסמאות אוטומטית התוסף מנתח את כתובת האתר בה אתם גולשים, אך בצורה רשלנית שמתעלמת מהסימן @. כך, כל מה שהאקר צריך לעשות כדי לגנוב מכם שם משתמש וסיסמה לאתר כלשהו הוא ליצור דף כניסה מזויף שכולל את כתובת האתר המבוקש (למשל: www.imahacker.com/@facebook.com יפורש על ידי התוסף כ-facebook.com).

לדברי קרלסון, הדיווח שלו טופל בזמנו תוך פחות מיום והוא קיבל מהחברה פרס בגובה 1,000 דולר. עם זאת, לא ברור למה חיכו גם קרלסון וגם החברה כל כך הרבה זמן לפני הדיווח על הבעיה והתיקון.

פרצה אחרת נמצאה רק אתמול על ידי טאביס אורמנדי, חוקר אבטחה המועסק בגוגל. אורמנדי מצא שגרסת הפיירפוקס של LastPass כוללת פרצה שנותנת להאקר שליטה מוחלטת על החשבון של המשתמש, על כל הסיסמאות שבו. לאחר שליחת המשתמש דף זדוני שמנצל את הפרצה יכול ההאקר לגנוב את כל הסיסמאות שלו ולמחוק אותן מהחשבון, כך שהמשתמש לא יקבל אותן אוטומטית בעת גלישה לאתרים ואילו ההאקר יוכל להיכנס לכל החשבונות של המשתמש.

לדברי אורמנדי, הפרצה היתה כל כך פשוטה למציאה שהוא לא מבין איך מישהו יכול בכלל להשתמש בתוכנה.

“האם אנשים באמת משתמשים ב-LastPass הזה? נתתי הצצה מהירה ואני יכול לראות מספר בעיות קריטיות ברורות. אשלח דיווח במהרה”, הוא כתב בטוויטר.

יש לציין כי גוגל, בה עובד אורמנדי, זכתה לביקורת קשה לפני כשלוש שנים לאחר שחוקר האבטחה אליוט קמבר גילה כי מנהל הסיסמאות של דפדפן כרום שלה מציג את הסיסמאות כטקסט פשוט. התשובה של גוגל היתה מדהימה: ג’סטין שו, מנהל האבטחה של דפדפן כרום, טען שאם האקר הצליח לחדור למחשב של המשתמש – הוא ממילא כבר יכול היה לעשות מה שהוא רוצה, שכן כל אמצעי האבטחה הם “הצגת תיאטרון”.

 

הכתבה פורסמה במקור באתר Nexter

כתבות נוספות מ-Nexter:

NEXTER

הגב

3 Comments on "התוסף ששומר לכם על הסיסמאות נרדם בשמירה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
Coverptech
Guest

והיום ילדים – נלמד איך לכתוב כותרת ClickBait! בושה שבאתר שאמור לכבד את עצמו, הכותרות לקוחות כאילו מצהובון. הרי לאיזו תוכנה אין בכלל פרצות אבטחה? בכרום של גוגל, שהוא הדפדפן השולט בשוק, מתגלות עשרות כל שבוע. אז כאן מצאו פרצות, החברה דאגה לסתום אותן בפרק זמן מהיר ובאמת שאין סנסציה מעבר לכך. אבל כנראה שצריך להגדיל את מספר הנכנסים לכתבה אז יורדים לרמה עיתונאית נמוכה.

בן שם קצר מידי לתגובות
Guest
בן שם קצר מידי לתגובות

תיארתם פה דברים חיוביים בצורה שלילית. המוצר שלהם מעולה, נשמע שהם עמדו על המשמר ושימשיכו ככה.

אגב אם לדבר על אבסורד – לאתר מובייל שלכם היה באג שבועיים שלמים שהוא הציג את אותה כתבה ולא התעדכן (היום במקרה ראיתי שזה טופל).. הם טיפלו בתקלה תוך 24 שעות

אמיר
Guest

כתבה פח עם כותרת מטעה

wpDiscuz

תגיות לכתבה: