О популярном менеджере паролей LastPass ранее мы писали только в контексте относительно удобной и безопасной утилиты для переноса паролей между браузерами. Но всё же главной задачей менеджера является хранение паролей пользователя в зашифрованном хранилище для дальнейшей синхронизации между платформами — LastPass доступен в качестве приложения для большинства мобильных систем, а также в виде расширения для всех популярных браузеров. И именно в расширении для Internet Explorer была обнаружена критическая уязвимость, позволявшая считать пароли злоумышленнику.
Увеличить рисунок
Суть уязвимости заключается в том, что функция автозаполнения LastPass в Internet Explorer размещает данные аутентификации незашифрованными в полях, а это открывает злоумышленнику провести атаку путём создания дампа процесса, в файле которого можно будет получить все пароли, которые были введены пользователем за время рабочей сессии. В случае, если пользователь вышел из браузера, то все пароли автоматически очищаются. Впрочем, такой тип атак через запись дампа довольно нетривиален и требует от злоумышленника по меньшей мере физического доступа к пользовательской учётной записи. Расширения в других браузерах данной уязвимости не подвержены, поэтому снятие дампа не даст доступа к введённым паролям. В качестве решения проблемы разработчики рекомендуют в срочном порядке обновить расширение для Internet Explorer до версии 2.0.20, в которой данная уязвимость ликвидирована.
Стоит понимать, что хотя LastPass и декларирует свои решения как безопасные, отдельные реализации на платформах (а кроме браузеров поддерживаются также Android, iOS, Windows Phone, webOS, Windows Mobile, Blackberry и Firefox OS) могут содержать уязвимости, которые потенциально позволят получить данные злоумышленнику. У самого Internet Explorer есть собственные механизмы обеспечения сохранности паролей — это механизм DPAPI, в котором пароли зашифрованы с помощью уникального пользовательского ключа, поэтому даже если злоумышленник сможет получить данные удалённо, то расшифровать их не сможет. Этот же механизм использует и Google Chrome, но там реализация проще, так как инженеры поисковой корпорации предпочли не использовать энтропию при шифровании, поэтому задача расшифровки несколько упрощается. В Windows 8 добавлен ещё один слой защиты, требующий дополнительной аутентификации для прочтения паролей. Впрочем, все эти методы защиты по большей части бесполезны в том случае, если у злоумышленника есть физический доступ к учётной записи пользователя, поэтому сторонний менеджер паролей с включённой двухфакторной аутентификацией может быть более надёжным способом хранения, чем хранение в браузере.