Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 19/1/2016
En sikkerhedsforsker har udviklet et angreb på password manager-systemet LastPass. Det efterligner brugergrænsefladen i browseren.Sikkerhedsforsker Sean Cassidy kalder sit angreb for LostPass. Det forudsætter, at angriberen kan narre sit offer til at besøge et websted, angriberen kontrollerer.
Webstedet viser en besked om, at brugeren er logget ud af LastPass og skal logge ind igen. Beskeden ser ud som den ægte vare, men er falsk. I Chrome vises den direkte i browservinduet og er dermed ikke til at skelne fra en rigtig besked fra LastPass. Firefox viser beskeder fra LastPass i et separat vindue, så her er det lidt sværere for angriberen at efterligne udseendet.
Et script på angriberens webside sørger også for at logge brugeren ud af LastPass. Så hvis brugeren undersøger sagen, viser det sig, at vedkommende er logget ud.
Hvis brugeren prøver at logge ind ved at indtaste sit password, bliver det sendt til angriberen.
LastPass har nu indført en metode, der skulle forhindre, at angriberen logger brugeren ud af systemet.
Endvidere skal brugerne nu reagere på en e-mail, før de får lov til at logge ind fra en IP-adresse, de ikke tidligere har brugt. Sean Cassidy oplyser, at det begrænser risikoen væsentligt.
LastPass oplyser, at firmaet arbejder på teknologier, der gør det muligt at vise beskeder uden at bruge det almindelige browservindue (viewport).