Passordadministratorer er verktøy som kan gjøre det enklere for brukerne å ha forskjellige passord på alle de ulike tjenester en benytter, ved at verktøyet på en sikker måte tar vare på og oppgir passordet til den enkelte tjeneste.
Men også slike verktøy kan ha betydelige svakheter.
- Tidligere problemer: Innbrudd hos mye brukt passord-tjeneste
Lekket passord
Denne uken har det blitt kjent to sårbarheter i LastPass, som er blant de aller mest populære passordadministratorene. Vi vil med en gang understreke at begge sårbarheter har blitt fjernet, den ene så sent som i går. Det er derfor viktig at brukerne forsikrer seg om at de benytter siste versjon av LastPass.
Den ene sårbarheten som har fått mye oppmerksomhet i IT-pressen denne uken, gjorde det mulig for ondsinnede å avsløre en LastPass-brukers passord til vilkårlige nettsteder når brukeren besøker en spesielt utformet webside som de ondsinnede kontrollerer.
Ifølge Mathias Karlsson, sikkerhetsforskeren som oppdaget sårbarheten, var LastPass-teamet svært raske med å rette sårbarheten. Det ble gjort på under en dag. I tillegg ble Karlsson gitt en dusør på tusen dollar.
Ifølge LastPass ble denne sårbarheten fjernet fra LastPass-produktet for mer enn et år siden, men Karlsson har vært villig til å holde tilbake omtalen av den fram til nå for å sikre at sikkerhetsfiksen har blitt rullet ut til alle.
Også en helt fersk sikkerhetsfiks
En sårbarhet i LastPass som ikke har fått like mye oppmerksomhet, ble oppdaget denne uken av Tavis Ormandy, som er tilknyttet Googles Project Zero-team. Omtrent samtidig publiserte han dette forvarslet på Twitter.
Are people really using this lastpass thing? I took a quick look and can see a bunch of obvious critical problems. I'll send a report asap.
— Tavis Ormandy (@taviso) 26. juli 2016
Også denne sårbarheten har blitt svært raskt fjernet fra LastPass av LastPass-teamet. Sårbarheten gjør det mulig for ondsinnede websider å få LastPass til å utføre ulike handlinger i bakgrunnen, uten at brukeren oppdager dette.
– Dette kan narre LastPass til å prosessere en openURL-kommando. Dette gir tilgang til enhver av de privilegerte LastPass RPC-ene (Remote Procedure Call, journ. anm.), slik at dette er en komplett kompromittering av LastPass-utvidelsen. Herfra kan en angriper opprette og slette filer, kjøre skript, stjele alle passord, logge ofrene inn på deres egen LastPass-konto, slik at de kan stjele alt nytt som er lagret der, etc., etc., skriver Ormandy.
LastPass-teamet har i stor grad bekreftet dette, men konkluderte med at sårbarheten kun gjelder LastPass-utvidelsen for Firefox, og bare 4.0-utgaven. Utgaven som tilbys via Add-Ons-siden til Mozilla, er en eldre versjon. Trolig er det mange som bruker denne.
- Leste du denne? Microsoft forbyr mye brukte passord