Lastpass-selainlaajennuksen haavoittuvuus paljasti: kuinka pysyä turvassa

Yksi suosituimmista salasanojen hallintaohjelmista LastPass kohtaa vakavia ongelmia selainlaajennuksissaan, koska palvelun yhteydessä viime viikon aikana paljastettiin useita haavoittuvuuksia, ja ne ovat edelleen olemassa.

Teknologia kehittyy jatkuvasti, ja vaikka sen tarkoituksena on parantaa elämäntyyliämme, se voi joskus jopa olla vahingollista, jos tiettyjä virheitä käytetään hyväksi, etenkin kun kyseessä on palvelu, kuten LastPass, joka vastaa kymmenien miljoonien salasanojen suojaamisesta.

Viime viikolla, 20. maaliskuuta, Google Project Zero -yrityksen tutkija Tavis Ormandy paljasti LastPass -selaimen laajennuksissa kaksi virhettä, jotka tekivät käyttäjille alttiita koodin etäsuorittamiselle.

Paljastuneet haavoittuvuudet koskivat sekä palvelun yrityksiä että henkilökohtaisia ​​käyttäjiä.

Haavoittuvuudet paljastuivat viime viikolla?

20. maaliskuuta: Tavis Ormandy löytää kaksi RCE (Remote Code Execution) -haavoittuvuutta, jotka olivat vaikuttaneet LastPass -selaimen laajennuksiin - mahdollistaen, että hyökkääjä voi varastaa salasanoja.

Hups, uusi LastPass-virhe, joka vaikuttaa 4.1.42 (Chrome & FF). RCE, jos käytät ”binaarikomponenttia”, muuten voi varastaa pwd: tä. Täysi raportti matkalla. pic.twitter.com/y92vm3Ibxd

- Tavis Ormandy (@taviso) 20. maaliskuuta 2017

21. maaliskuuta: LastPass hyväksyy Ormandyn raportin ja vahvistaa haavoittuvuuksien olemassaolon ja heidän ryhmänsä pyrkii korjaamaan ne.

Olemme tietoisia @tavison mietinnöstä ja tiimimme on asettanut kiertotavan paikalleen työskennellessämme päätöslauselman parissa. Pysy ajan tasalla päivityksistä.

- LastPass (@LastPass) 21. maaliskuuta 2017

22. maaliskuuta: Yhtiö ilmoittaa julkaissut Chromen (v 4.1.43) ja Firefox (v 4.1.36) selainlaajennusten uudet versiot, joissa on tietoturvapäivitykset.

He mainitsivat myös, että tämän ajanjakson välillä ei ollut vaarantunut mitään tietoja ja käyttäjien ei tarvitse huolehtia valtakirjojensa muuttamisesta. Microsoft Edge- ja Opera-selainlaajennusten päivitetyt versiot julkaistaan ​​odottaen yrityksen hyväksyntää.

25. maaliskuuta: Tavis Ormandy paljastaa uuden haavoittuvuuden, jonka Google Chromen selainlaajennuksen päivitetty versio kohtaa (v 4.1.43). LastPass tunnustaa haavoittuvuuden 22. maaliskuuta päivätyn ilmoituksen päivityksessä.

Ah-ha, minulla oli loppuaika suihkussa tänä aamuna ja tajusin kuinka saada codeexec LastPass 4.1.43: een. Täysi raportti ja hyväksikäyttö matkalla. pic.twitter.com/vQn20D9VCy

- Tavis Ormandy (@taviso) 25. maaliskuuta 2017

27. maaliskuuta: LastPass antoi lausunnon ”Emme käsittele aktiivisesti haavoittuvuutta. Tämä hyökkäys on ainutlaatuinen ja erittäin hienostunut. Emme halua paljastaa mitään erityistä haavoittuvuudesta tai korjauksestamme, joka voisi paljastaa jotain vähemmän kehittyneille mutta huonoille osapuolille."

Kuinka pysyä turvassa?

Tällä hetkellä LastPass on vahvistanut työskentelevänsä korjatakseen palvelunsa turvallisuusongelmat ja täyden korjauksen voi odottaa pian. Sillä välin LastPass-käyttäjille on suositeltavaa ottaa huomioon seuraavat varotoimenpiteet.

• Sisäänkirjautumistietojensa turvaamiseksi käyttäjiä suositellaan poistamaan selaimen laajennukset tällä välin ja käynnistämään verkkosivustot suoraan LastPass Holvista, kunnes yritys on korjannut haavoittuvuudet.
• Ota kahden tekijän todennus käyttöön kaikilla tilillä, jotka tarjoavat tämän vaihtoehdon, antamalla tilillesi lisätty suojaustaso, jos hyökkääjä hyödyntää haavoittuvuutta.
• Ole etsimässä tietojenkalasteluhyökkäyksiä. Älä napsauta epäluotettavien lähteiden linkkejä - ihmisiä, joita et tunne

Etsitkö vaihtoehtoja LastPassille? Tutustu 3 suosituinta vaihtoehtoa täällä.