WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
Lỗ hổng trong các phần mềm quản lý password
Các nhà nghiên cứu của trường đại học Carlifornia đã tiến hành kiểm tra 5 phần mềm quản lý password chạy trên nền web, trong đó có LastPass (đạt mốc 1 triệu người dùng vào năm 2011) và tìm ra nhiều khiếm khuyết nghiêm trọng có lỗ hổng có thể cho phép tin tặc tấn công và lấy được dữ liệu của hàng triệu người dùng.
Sơ đồ kịch bản khai thác lỗ hổng trong chức năng “bookmarklet” của phần mềm Lastpass nhằm vào người dùng “Alice” (u là website mà Alice sử dụng bookmarklet để đăng nhập)
Lỗi nghiêm trọng nhất nằm trong chức năng “bookmarklet” LastPass – chức năng hỗ trợ tự điền mật khẩu khi plug-in LastPass không sử dụng được, ví dụ như khi người dùng truy cập bằng trình duyệt di động. Tin tặc có thể khai thác lỗ hổng bằng cách tấn công một trang mà nạn nhân dùng bookmarklet của LastPass để truy cập. Khi nạn nhân click vào bookmarklet, tin tặc có thể âm thầm lấy cắp toàn bộ thông tin đăng nhập của các web site khác cũng được lưu trữ bởi LastPass, dưới dạng văn bản thuần túy.
Một lỗ hổng khác cũng thuộc về LastPass cho phép tin tặc thực thi mã độc trên website nhằm trích xuất kho dữ liệu password mã hóa cùng các thông tin nhạy cảm khác của người dùng, chỉ với một e-mail của nạn nhân. Tin tặc cũng có thể khai thác lỗ hổng để biết được những site khác mà người dùng sử dụng LastPass để lưu mật khẩu.
Cả hai lỗ hổng nêu trên đã được LastPass khắc phục ngay sau khi được các nhà nghiên cứu thông báo. LastPass cũng tuyên bố chưa phát hiện dấu hiệu nào cho thấy lỗ hổng đã bị khai thác để tấn công người dùng. Một số phần mềm phổ biến khác cũng được các nhà nghiên cứu tìm ra lỗ hổng là PasswordBox, RoboForm, My1login, và NeedMyPassword. Trừ NeedMyPassword, tất cả các phần mềm còn lại đã phát hành bản vá khắc phục các lỗ hổng được chỉ ra.
Nhìn chung, người dùng vẫn nên sử dụng một sản phẩm quản lý password hơn là dùng chung password cho nhiều tài khoản. Tuy nhiên cần nhớ rằng một phần mềm như thế sẽ là chốt chặn duy nhất mà nếu bị tấn công, người dùng sẽ mất gần như tất cả tài khoản mà họ có. Rất khó để biết phần mềm nào tốt hơn phần mềm nào nếu như không có đánh giá đáng tin cậy từ một bên thứ ba, nhưng những sản phẩm nổi tiếng đã có mặt lâu năm trên thị trường nhiều khả năng sẽ an toàn hơn một sản phẩm mới chỉ vừa ra mắt.
Nguồn: Arstechnica
Sơ đồ kịch bản khai thác lỗ hổng trong chức năng “bookmarklet” của phần mềm Lastpass nhằm vào người dùng “Alice” (u là website mà Alice sử dụng bookmarklet để đăng nhập)
Lỗi nghiêm trọng nhất nằm trong chức năng “bookmarklet” LastPass – chức năng hỗ trợ tự điền mật khẩu khi plug-in LastPass không sử dụng được, ví dụ như khi người dùng truy cập bằng trình duyệt di động. Tin tặc có thể khai thác lỗ hổng bằng cách tấn công một trang mà nạn nhân dùng bookmarklet của LastPass để truy cập. Khi nạn nhân click vào bookmarklet, tin tặc có thể âm thầm lấy cắp toàn bộ thông tin đăng nhập của các web site khác cũng được lưu trữ bởi LastPass, dưới dạng văn bản thuần túy.
Một lỗ hổng khác cũng thuộc về LastPass cho phép tin tặc thực thi mã độc trên website nhằm trích xuất kho dữ liệu password mã hóa cùng các thông tin nhạy cảm khác của người dùng, chỉ với một e-mail của nạn nhân. Tin tặc cũng có thể khai thác lỗ hổng để biết được những site khác mà người dùng sử dụng LastPass để lưu mật khẩu.
Cả hai lỗ hổng nêu trên đã được LastPass khắc phục ngay sau khi được các nhà nghiên cứu thông báo. LastPass cũng tuyên bố chưa phát hiện dấu hiệu nào cho thấy lỗ hổng đã bị khai thác để tấn công người dùng. Một số phần mềm phổ biến khác cũng được các nhà nghiên cứu tìm ra lỗ hổng là PasswordBox, RoboForm, My1login, và NeedMyPassword. Trừ NeedMyPassword, tất cả các phần mềm còn lại đã phát hành bản vá khắc phục các lỗ hổng được chỉ ra.
Nhìn chung, người dùng vẫn nên sử dụng một sản phẩm quản lý password hơn là dùng chung password cho nhiều tài khoản. Tuy nhiên cần nhớ rằng một phần mềm như thế sẽ là chốt chặn duy nhất mà nếu bị tấn công, người dùng sẽ mất gần như tất cả tài khoản mà họ có. Rất khó để biết phần mềm nào tốt hơn phần mềm nào nếu như không có đánh giá đáng tin cậy từ một bên thứ ba, nhưng những sản phẩm nổi tiếng đã có mặt lâu năm trên thị trường nhiều khả năng sẽ an toàn hơn một sản phẩm mới chỉ vừa ra mắt.
Nguồn: Arstechnica
Chỉnh sửa lần cuối bởi người điều hành: