4.2 C
София

Разкриха набор от уязвимости в онлайн мениджъри на пароли

Най-четени

Методи Дамяновhttps://www.kaldata.com/
В "Калдата" от 2012г. насам. С интереси в сферата на информационната и интернет сигурност, дисруптивните технологии (IoT, AI, облак), видеоигрите с душа и послание и интернет свободата. Фен на Кен Ливайн, Ричард Столман и Джон Пери Барлоу.


Група изследователи от Университета на Калифорния, Бъркли са анализирали пет популярни уеб-базирани мениджъри на пароли, откривайки уязвимости, които биха позволили на атакуваща страна да научи логин данните на даден потребител за произволно избрани сайтове. За щастие, след доклада на специалистите към офисите на почти всички (без една) от тези компании, откритите уязвимости са били запушени от отговарящите за поддръжката на въпросните мениджъри на пароли.

„Разкрихме уязвимости в набор от характеристики, като еднократните пароли (one-time passwords), букмарклетите и споделените пароли. Главните причини за въпросните уязвимости са също най-различни, като се простират от логически и авторизационни грешки до погрешно имплементиран модел на сигурността, заедно с наличието на често срещани уязвимости, като CSRF и XSS“, пишат специалистите в своя доклад, който вече е публично достъпен (PDF).

Анализираните мениджъри на пароли са LastPass, RoboForm, My1Login, PasswordBox и NeedMyPassword.

„Широкоразпространената употреба на несигурни мениджъри на пароли вместо да ви помогне, може да направи нещата по-зле по отношение на сигурността на данните ви, като това добавя нова отправна точка за провал в осигуряването на защита в оторизационната екосистема – все пак една уязвимост в мениджър на пароли може да позволи на злоумишленик да открадне всичките пароли на даден потребител с един удар“, посочват изследователите. От петте компании само една – NeedMyPassword – не са отговорили на изпратения им от разработчиците доклад. Само дни след доклада, другите четири компании са съобщили на специалистите с официални писма, че въпросните уязвимости са вече запушени.

Университетските учени обясняват също така че е възможно да съществуват и други, неразкрити досега уязвимости, тъй като направения от тях анализ е бил ръчен, допълвайки, че те вече са започнали работа по инструмент, който ще автоматизира процеса по идентифициране на възможни уязвимости, а също така са почнали работа по „принципно „безопасен по дизайн“ мениджър на пароли“.

Междувременно от LastPass споделиха на своите потребители за получения доклад и изправянето на въпросните уязвимости, като споделят, че няма данни, че въпросните дупки в сигурността на платформата им са били експлоатирани досега.

Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари

Нови ревюта

Подобни новини