Používate LastPass na Chrome? Hrozí vám phishingový útok

Bezpečnostný výskumník Sean Cassidy vyvinul pomerne triviálny útok na službu správy hesiel LastPass, ktorá umožňuje útočníkom jednoduchým spôsobom získať hlavné heslo obete.Cassidy zistil, že zakaždým, keď prihlásenie do správcu hesiel LastPass exspiruje, pričom on pokračuje v prehliadaní webu, na ľubovoľnej webovej stránke sa objaví prúžok so žiadosťou, aby sa znovu prihlásil. Pre používateľov to znamená nebezpečenstvo, pretože sú tak vystavení útokom typu web injection, ktoré sa bežne vyskytujú v rámci phishingových útokov proti používateľom portálov internetového bankovníctva.Cassidy vytvoril nástroj LostPass, ktorého kód zverejnil na GitHube. Webový skript najprv odhlási používateľa z LastPass a vzápätí mu zobrazí prúžok na opätovné prihlásenie. Po potvrdení sa mu zobrazí podvrhnutá prihlasovacia stránka, takže všetko vyzerá vierohodne, pretože LastPass tak naozaj funguje. A keď používateľ zadá svoje prihlasovacie údaje, prihlási sa na server útočníka, ktorý tak získa jeho ...