'Wachtwoordmanager LastPass te makkelijk voor de gek te houden'
Het gaat in dit geval om LastPass, dat vooral in trek is bij gebruikers van Linux. LastPass blijkt kwetsbaar voor een kwaadaardig opzetje dat de ontdekker LostPass heeft gedoopt.
© Shutterstock
Shutterstock
De kwetsbaarheid heeft alles te maken met de flexibiliteit van LastPass bij gebruik ervan op verschillende platformen. Anders dan sommige andere wachtwoordmanagers is het een browsergebaseerde oplossing. Daardoor is het op nagenoeg elk platform bruikbaar. Maar de keerzijde daarvan is dat een hacker browservensters van LastPass makkelijk kan nabootsen. En omdat deze pixel voor pixel hetzelfde kunnen zijn als het origineel, is het zelfs voor een oplettende pc-gebruiker niet te zien of hij een nep-login-scherm voorgeschoteld krijgt. Als hij dan inlogt op het nep-LastPass-inlogscherm is hij in één keer al zijn wachtwoorden kwijt aan de aanvaller, bedacht Sean Cassidy. Dat idee werkte hij vervolgens uit in een proof of concept dat hij de naam LostPass gaf. Dat LostPass werkte, liet hij onlangs zien op ShmooCon, een hackersconferentie in Washington DC
Niet alleen bleek LastPass' inlogschermen en mededelingen makkelijk na te maken, het bleek ook niet al te moeilijk om vast te stellen of iemand LastPass gebruikt, als je hem of haar eenmaal op een besmette site hebt. Toegangstokens die gebruikt worden bij twofactor-authenticatie bleken eveneens te onderscheppen.
LostPass afgedekt, zegt LastPass
LastPass verschilt met Cassidy van mening over het gemak waarmee zo'n trucje uit te halen is. Het heeft naar eigen zeggen verschillende maatregelen in LastPass ingebouwd die en LostPass-achtig opzetje tegengaan. Maar volgens Cassidy zijn die niet waterdicht.
LastPass heeft na de melding van Sean Cassidy wel aanvullende maatregelen genomen. De belangrijkste daarvan is dat het nu in alle gevallen een e-mailbericht stuurt met daarin een bevestigingslink wanneer geprobeerd wordt vanaf een nieuw IP-adres in te loggen. Dat deed het voorheen alleen bij mensen die geen twofactor-authenticatie gebruikten, waardoor mensen die extra beveiligingsmaatregelen hadden genomen dus kwetsbaarder waren dan zij die dat niet hadden gedaan. Volgens Cassidy is LastPass daarmee wel veiliger geworden, maar neemt dit niet alle risico's weg.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee