Aumentar a visibilidade de TI e de negócios valor
Os pesquisadores detalharam uma série de vulnerabilidades corrigidas rapidamente em cinco gerentes de senha populares que poderia permitir que invasores para roubar credenciais de usuário.
vulnerabilidades "críticos" foram descobertos e relatados em LastPass, RoboForm, My1Login, PasswordBox e NeedMyPassword no trabalho descrito por pesquisadores da Universidade de Califórnia em Berkeley como um "toque de despertar" para desenvolvedores de cofres de senha web.
"Nossos ataques são graves: em quatro dos cinco gerentes de senha que estudamos, um atacante pode aprender credenciais de um usuário para sites arbitrários," Pesquisadores Zhiwei Li, Warren Ele, Devdatta Akhawe, e Dawn Canção escreveu no papel do Imperador Nova Senha Representante: Análise de Segurança de Web-based Gerenciadores de Senhas (PDF) .
"Nós encontrar vulnerabilidades em diversas características como senhas de uso único, bookmarklets e senhas compartilhadas.
"As causas profundas das vulnerabilidades também são diversas: vão desde lógicas e autorização erros para mal-entendidos sobre o modelo de segurança web, além das vulnerabilidades típicas como CSRF (cross site pedido falsificação) e XSS (cross site scripting)."
A opção bookmarklet LastPass que permitiu a integração ad-hoc com o Safari no iOS foi encontrado vulnerável se os usuários foram aliciadas para executar o código Java no local "uma atacantes.
A carda, por exemplo, poderia criar um site bancário falso, na tentativa de enganar a menos de um por cento dos usuários que executam o LastPass bookmarklets para entrar o fizer, pode permitir que atacantes para extrair senhas LastPass cofre da vítima.
Um segundo erro CSRF afetado LastPass senhas uma vez. Ele poderia permitir que invasores para ver quais aplicativos e dispositivos estavam funcionando LastPass, para roubar todo o vault cifrado por senha mestre para mais tarde, e para apagar-forçando bruta qualquer senha website armazenado.
A divulgação solicitado LastPass a emitir um comunicado minimizando vulnerabilidades que afetam suas bookmarklets Java e senhas uma vez que, se executado em um site malicioso poderia comprometer as contas de usuário antes de uma correção empurrado para fora em setembro.
"Se você está preocupado que você usou bookmarklets antes de Setembro de 2013, em locais não-confiáveis, você pode considerar a mudança da senha master e geração de novas senhas, mas nós não pensamos que é necessário", disse o diretor de informática Joe Siegrist.
"O ataque OTP é um" ataque direcionado "a necessidade de um atacante de saber o nome do usuário para, potencialmente, explorá-la e servir a esse costume ataque [de cada] usuário [que é] a atividade que nós não vimos.
"Mesmo que esse foi explorada, o invasor ainda não tem a chave para descriptografar os dados do usuário."
A pesquisa não sinalizar cortinas para gerenciadores de senha web, mas serviu como um aviso para os desenvolvedores e usuários dos riscos de segurança inerentes.
"A adoção disseminada de gerenciadores de senha inseguras poderia piorar as coisas: adicionar um novo ponto único, não testada de falha para o ecossistema de autenticação web", escreveu pesquisadores, acrescentando que o projeto de um gerenciador de senhas seguro exigido sistemática de defesa em profundidade.
O quarteto boffin disseram que vão desenvolver ferramentas para automatizar a inspeção vulnerabilidade para gerentes de senha e planejou uma "íntegro, seguro-a-construção" gerenciador de senhas. ®
Nenhum comentário:
Postar um comentário