LastPass密碼管理器再曝嚴重漏洞，基於瀏覽器的密碼管理器還能用嗎？

沒有使用密碼軟體前，大家容易忘記密碼；使用密碼軟體後，大家「無奈地」泄露了所有密碼。LastPass，最受歡迎的密碼管理軟體之一，近日再次爆出安全漏洞。安全人員發現在 LastPass Chrome 和 Firefox 4.1.42 版本插件中存在三個漏洞，可能會導致用戶在使用該組件的過程中泄露密碼。

這幾個漏洞都是谷歌Project Zero團隊的安全研究人員Tavis Ormandy發現的。其中一個漏洞影響到LastPass的Chrome擴展，另外兩個則是針對Firefox的。

Ormandy稱該擴展程序上有可利用的內容腳本，允許攻擊者從管理器中提取密碼，還可以執行受害者設備上的命令。

所有平台都受影響

Chrome的LastPass插件漏洞可被利用攻擊用戶瀏覽器和LastPass雲伺服器之間的JS腳本。Ormandy解釋說：

「由於該漏洞的存在，要代理LastPass 4.1.42不受信任的信息是可行的。這個漏洞可讓網站訪問內部高許可權RPC（遠程過程調用）。有很多的PRC，可對LastPass擴展實現完整控制，包括密碼的竊取。如果你安裝了『Binary Component』，甚至可以造成任意代碼執行。」

Ormandy演示了如何通過該中間腳本在用戶設備上執行代碼，上圖即成功實現了Windows計算器的啟動。值得一提的是，該漏洞存在於所有操作系統中，並不只是Windows版Chrome。另外改一下PoC，在密碼複製並填充用戶名和密碼錶單之前，就能竊取用戶密碼了。

在具體攻擊方式上，攻擊者可以在網站的JS腳本中放入惡意代碼，所以危險係數還是比較高的，攻擊成本卻比較低。LastPass發布推文稱已經修復了Chrome插件的相關漏洞，還專門發了篇博文來詳述該問題。

Firefox也未能倖免

如上所述，Firefox的LastPass擴展也存在漏洞，僅影響3.3.2版本——這個版本的確也是LastPass最廣泛應用的版本。和Chrome版一樣，攻擊者也可以通過隱藏在網站中的惡意JS代碼來發動攻擊，下圖復現了其中一個漏洞。

不過兩周前，LastPass就發布了新版Firefox插件，因為Firefox原本計劃拋棄舊有擴展API。漏洞的演示頁面

點擊原文觀看

基於瀏覽器的密碼管理擴展還能用嗎？

實際上，這已經不是Ormandy首次在LastPass中發現高危漏洞了：

2016年7月，同樣是 LastPass瀏覽器擴展組件爆出漏洞，黑客可以通過誘導用戶點擊一個連接，然後竊取用戶的所有密碼；

2015年6月，LastPass 的伺服器被黑客攻擊，並導致用戶所有加密數據被泄露，雖然泄露的不是明文數據，但這些數據依舊有被破解的可能；

2014年，安全人員發現 LastPass 的四個密碼管理漏洞；

LastPass也並非唯一被曝漏洞的密碼管理類應用：Keeper、Dashlane甚至1Password都曾給予攻擊者機會竊取用戶賬戶密碼。基於瀏覽器的密碼管理擴展都存在類似的攻擊面，攻擊者只需要設計個惡意網站讓相應用戶去訪問就能在用戶不知情的情況下竊取身份憑證信息。

使用這些瀏覽器密碼管理擴展插件，相當於給了攻擊者一個API，通過JS或者DOM和用戶的密碼管理器做交互。其危險程度顯然比桌面應用要大得多。

實際上，密碼管理器還是有其他選擇的，也完全不需要遭受通過JS直接訪問的風險尷尬，比如直接用桌面密碼管理器。另外主流的瀏覽器本身都有設計得不錯的內置密碼管理器，也很易於使用，另外還能和移動端同步。

或者你也可以選擇將密碼放在本地，然後進行加密。如果攻擊者想要獲得密碼首先要獲得你計算機的用戶許可權，然後在你解密文件的時候查看密碼，這對攻擊者來說難度不小。

* 參考來源：NetworkWorld,BleepingComputer，米雪兒編譯，轉載請註明來自

FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！