LastPass retter nogle browserbaserede efterlignings svagheder

Sean Cassidy er en LastPass-bruger og en sikkerhedsforsker. For en uge siden, han indsendt en blogindgang om noget, han indså i at bruge LastPass: På grund af sin afhængighed af browserbaserede advarsler og logins på skrivebordet, i stedet for at bruge en separat grænseflade eller indbygget app login, var det let at spoof.

Han havde slået ud detaljerne for måneder siden, men han skriver, at fejlkommunikation og forsinkelser førte til, at LastPass ikke fikset alle problemerne, før han præsenterede sit arbejde hos ShmooCon, en sikkerhedshændelse i midten af ​​januar. Siden da har Last Pass omarbejdet de resterende problemer, givet en mere grundig forklaring til sine brugere og forklaret sin fremtidige retning for bedre at reducere denne form for spoofingangreb.

I hjertet er det bare et nyt, der har været kendt i årevis: En browsers indholdsdel - dens viewport - kan ikke stole på.

Browser pas på

Siden starten af ​​noget, der er værd at spoofing på World Wide Web, er der blevet vist websteder, der efterligner andre. Stigningen af ​​sikre webforbindelser mindskede det, da browsere ville advare brugere, når en bestemt destination blev omdirigeret - i hvert fald i nogle tilfælde. Browserudnyttelser, malware og "onde twin" hotspots, der kunne forgifte lokale netværk, er blevet brugt til at skubbe falske websteder til brugere også.

Og phishing forbliver et konstant problem. Jeg forestiller mig mindst, at milliarder af meddelelser går ud hver dag, der forsøger at få folk til at klikke på et link, der fører dem til et websted, der forsøger at snarfre deres loginoplysninger eller stjæle deres identitet.

LastPass-problemet løber parallelt med dette, selvom det har en anden årsag, og selskabet har frigivet begrænsning. LastPass browserudvidelser skubber meddelelser i visningsporten, browserens hoveddisplayområde, ved hjælp af den samme underliggende struktur og stilkode tilgængelig for websider.

Cassidy bemærkede, at dette er et problem på grund af en række usandsynlige handlinger:

  • En bruger er phished eller besøger et ondsindet websted, som kan være et hvilket som helst sted - endda med tilsyneladende legitimt indhold, men som har et ondsindet script.
  • Denne side anvender JavaScript for at afgøre, om LastPass er installeret. (LastPass har en gratis version og er i vid udstrækning.)
  • Hvis LastPass er installeret, trækker den en meddelelse i visningsporten, der ligner en LastPass-alarm, der fortæller en bruger, at deres LastPass-session er udløbet.
  • En bruger klikker på linket, er taget til et andet websted, men en der har en legitim udseende. (Cassidy registrerede en, der kunne narre folk, men der er flere milliarder domæner, der kunne registreres, og det ville heller ikke se ud.)
  • På dette websted indtaster en bruger deres legitimationsoplysninger i, hvad der synes at være et LastPass login, igen trukket i visningsporten, og som ser stort set ud som den rigtige, der bruger en pop-up-menu uden visning.
  • Webstedet bruger LastPass API (applikationsprogrammerings grænseflade) til at forespørge LastPass-servere og få adgang til eller hente en brugers adgangskodehvelv.

LastPass siger, at der er tilføjet trin, der forhindrer denne rækkefølge og dem som den. For det første kan et angrebet websted ikke logge brugeren ud af systemet, så der er en fejlparametre mellem et aktivt LastPass-ikon i browseren og meddelelsen.

Lastpass loginSean Cassidy
Dette screenshot fra Sean Cassidys blogpost viser en forfalsket LastPass login side i Chrome-domænet "chrome-extension.pw" er relativt tæt på den rigtige protokol, "chrome-extension".

Dernæst, fordi LastPass overvåger tastetryk (lokalt uden at sende dem tilbage til dets servere), kan det fortælle, hvornår du skriver hovedadgangskoden til din konto. Det stopper dig nu og advarer dig før indsendelse, hvis det sker overalt, men på sit websted. Det advarer også brugere, hvis hovedadgangskoden bruges til andre formål, som på en anden hjemmeside. (Cassidy bemærker, at den er afhængig af samme viewport, så en ondsindet angriber kan også blokere denne advarsel.)

Endelig har LastPass nydt, hvordan det tillader logins fra steder, der ikke tidligere er blevet brugt og godkendt, både for single-factor (kun adgangskode) og to-faktor logins. Før login kan afsluttes, modtager en en bekræftelses-email og skal klikke på et link i den. LastPass bemærker, at en bruger skulle have kompromitteret e-mail for at skridtet bliver kapret, og dette efterligningsangreb er ikke afhængigt af at få andre legitimationsoplysninger. Selvom det i sidste ende kunne kobles sammen med det, reducerer en sådan forbindelse dramatisk sit potentielle udbytte af password vaults.

LastPass oprindeligt kun beskyttet login-only logins, der tillader en kontrol bypass. Cassidy bemærker, at fordi det ondsindede websted kan præsentere en grænseflade for den anden faktor, gjorde det det mindre sikkert. LastPass har siden tilføjet et krav til verifikations-email for alle konti.

Voldeport

Det grundlæggende problem er ikke i LastPass sikkerhed. Cassidy brød ikke ind i sine servere eller udnyttede en svaghed i sin plug-in. I stedet udnytter det, hvad der er en fejlplaceret tillid, at meddelelser i visningsporten er lige så gyldige som meddelelser, der produceres på andre måder i en browser eller operativsystemet.

LastPass siger i sin FAQ-post på Cassidys "LostPass" (som han kaldte det), at de arbejder for at bryde ud af visningsporten, selvom de stymied delvis af Google Chrome. Chrome er en helt lukket browser, og roste for det. Det nuværende design tillader ikke plug-ins at placere meddelelser hvor som helst men inden for visningsporten, hvilket begrænser hvad LastPass kan gøre.

Nogle af LastPass konkurrenter, som 1Password, adopterede en helt anden tilgang, der omgå denne særlige socialtekniksvaghed. 1Password kører en baggrundsproces, der effektivt udløser et pop-up-vindue med dets grænseflade, hvilket generelt virker (selv om jeg undertiden ser timingproblemer og forsinkelser), mens jeg undgår visningsporten. LastPass udvidelse har sin egen udenfor-the-viewport-menu, men det er ikke her, hvor fejl og andre meddelelser bliver skubbet.

I Harry Potter-bøgerne er der en linje, der aldrig gav mig stor mening, hvor Arthur Weasley citater noget, han har fortalt sine børn gentagne gange: "Forlad aldrig noget, der kan tænke for sig selv, hvis du ikke kan se, hvor det holder sin hjerne." (Dette har aldrig gjort konsekvent forstand, for eksempel hvor er Sorting Hat hjernen?)

Jeg er bange for, at vi burde have vedtaget denne rubrik på nettet for længe siden: Tro aldrig på noget, der vises i en browser, fordi vi ikke kan se, hvor det holder sin "hjerne". Vi ved ikke, hvad der blev tegnet; vi kan ikke stole på det og det er tid til at bevæge sig ud over det.

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.