看我如何利用LastPass来得到你所有的密码

看我如何利用LastPass来得到你所有的密码

必须注意的是，厂商已经成功恢复了这个问题，并将相关信息告知了Lastpass的用户。

漏洞:已恢复

恢复期:90天

漏洞级别:严重。

制造商:LastPass

商品:LastPass

报告日期:2016年7月26日

漏洞简介

只需浏览一个网页，别人就可以窃取你所有的密码。虽然这听起来耸人听闻，但却是事实。

一开始我不敢相信这种名字，于是决定对LastPass进行安全分析。在得到最终的分析结果后，我别无选择，只能承认这确实是客观事实。

有可能有些读者不知道LastPass是什么。LastPass是目前全世界比较时尚的密码管理工具。LastPass选择了强加密优化算法，适合现阶段流行的浏览器工具。此外，它可以使用户更容易和更安全地浏览网页。LastPass可能会加密存储在此设备中的用户密码。在LastPass的帮助下，用户可以在PC、MAC或移动设备上存储密码，只有LastPass密码管理工具可以打开这样的密码。因此，即使用户更换电子计算机或登录终端设备时，也不必过于担心。由于用户的加密数据可能被备份在LastPass的官方在线账户中，用户可以通过登录LastPass的官方主页并安装LastPass来立即修复用户的密码。根据官网的详细介绍，LastPass选择了256位AES加密优化算法对本地和网站密码数据库查询进行加密，并应用了SSL加密连接等措施，保证了数据传输时数据信息的安全性。

LastPassEnterprise的首席执行官乔·西格里斯特曾表示:“LastPass选择的加密保障措施足以维护大多数用户的安全。LastPass提高了验证hach的安全防护，选取任意因子，在手机客户端之外的PBKDF2-SHA256服务器上实现了10万个循环系统解决方案。”

漏洞分析

所以我在Windows电脑 *** 作系统下分析了LastPass4.1.20a的版本，发现了一些难点。在整个分析过程中，我还发现LastPass软件会在我浏览的每一个网页中加入一些HTML代码(HTML原语和事件CPU)，所以我打算对LastPass软件进行更深入的分析，以掌握其实际的工作计划。吞下两杯现磨咖啡后，我发现了一些可怕的事情。不，真的很可怕。

LastPass软件将使用css代码来更改

相关代码如下图所示:

软件可以根据消息推送对话框的信息内容与iframe进行通信，CPU会进一步认证并解决恶性事件的交互信息内容。然而，这没有任何意义。因为实际 *** 作对话框完全是被网络攻击 *** 纵的，网络攻击可以插入自己的恶意事件CPU来覆盖电脑浏览器的恶意事件CPU，改变合理合法的信息内容。

这些代码如下图所示:

这样就可以通过LastPass解决网络攻击，实现openURL指令。网络攻击可以创建或删除文件夹，制作随机脚本，窃取所有密码。此外，网络攻击还可以让整体目标用户登录自己的LastPass账户，从而窃取所有新增的账户密码数据信息。

难题叙述

这个漏洞会让我立刻从软件的自动填充功能中获取用户的密码。首先，编码会对详细的URL地址进行分析，得出今天的电脑浏览器已经浏览过的网站的域名。然后，软件将使用系统软件中存储的用户凭据来填写从网页中获取的登录表单。然而，这些负责分析URL详细地址的代码存在严重的安全漏洞。

分析详细URL地址的角色代码如下图所示:

在电脑浏览器的地址栏中输入URL详细地址:http://avlidienbrunn.se/@twitter.com/@hehe.php后，电脑浏览器可能会认为用户必须浏览的域名是avlidienbrunn.se，但LastPass软件会认为整体目标域名是twitter.com。因为这些代码只对最后一个“@”标记后的内容进行编码，所以URL中的特定网站域名可能会被视为用户名。

这个问题很严重，很难想象。

从下面的照片中可以看到，LastPass软件将使用我存储在数据库查询中的登录凭据来填写twitter.com的登录表单。填好之后，我可以立即浏览另一个常用网站，并获得登录凭据。如下图所示:

我向LastPassenterprise提交报告后，企业的专业技术人员当时表示，我提交的漏洞代码只在他们的搜狗浏览器软件中生效。所以他们认为只有搜狗浏览器的LastPass软件有这个漏洞。

LastPass企业响应的详细邮件内容如下:

感谢您负责向我们报告此漏洞的详细信息。

我们的企业安全专业人员已经确认，网络攻击确实可以通过你所呈现的方式，获取LastPass的密码数据信息，所以这确实是一个安全漏洞。另外，大家已经确认，这个问题总是危害搜狗浏览器的LastPass软件。

企业的专业技术人员现阶段已经解决了这个漏洞，大家会在周日和周日之前向这里的用户推送更新补丁。

这个漏洞的标准符合人人漏洞奖励计划的规定，所以人人很高兴让你展示漏洞奖励，以奖励你对人人安全产品的奉献。

我根据LastPass的漏洞提交网页向LastPass报告了漏洞的信息内容，LastPass的工作人员很负责的解决了我提交的报告。他们真的很有技术含量，不到一天就针对这个漏洞开发设计了安全更新。另外，他们给了我1000美元的漏洞奖励。不过，我打算把这笔漏洞奖金捐给慈善组织和大赦国际，

使用密码管理工具是一个错误的决定吗？

所有人都应该停止使用密码管理工具吗？答案肯定是否定的，使用密码管理工具还是比密码设备好很多。说白了，重视密码就是在几个网站或者账号上重复使用同一个密码。这种密码一旦暴露，加上姓名、用户名、电子设备邮箱地址等其他可识别信息内容，会给用户造成网络信息安全风险。而像LastPass这样的密码管理工具，可以帮助用户存储几个网站的密码，然后快速登录这类网站，用户就不用去背几个独立的密码了。

所以我建议用户暂时禁止这个软件全自动填表。因为这种问题很常见，所以这个漏洞不是第一个全自动填充漏洞，我也不认为会是最后一个。另外，如果有标准的话，我建议你开启“多因素认证”，这样也可以提高用户数据信息的安全系数。

欢迎分享，转载请注明来源：内存溢出

原文地址: https://outofmemory.cn/zz/771793.html