Η 27η Ιουλίου 2016, δεν θα μείνει στην ιστορία ως μια ήσυχη μέρα για την ομάδα της LastPass, καθώς δύο ευπάθειες που εμφανίστηκαν online, θα μπορούσαν να επιτρέψουν σε έναν εισβολέα να θέσει σε κίνδυνο την εφαρμογή τους.
Το πρώτο είναι ένα ζήτημα που ανακαλύφθηκε από τον Mathias Karlsson του Detectify. Ο ερευνητής εξηγεί σε ένα blog post ότι το πρόβλημα που υπήρχε στον JavaScript κώδικα που ανέλυε το URL της LastΡass σελίδας δούλευε από πάνω.
Ανακάλυψε ότι ξεγελώντας έναν χρήστη να μπει σε μια διεύθυνση URL με τη μορφή attacker-site.com/@twitter.com/@script.php, η LastΡass URL parsing λειτουργία θα τον ξεγελούσε για να νομίζει ότι ήταν στο twitter.com, αντί στο attacker-site.com.
Επειδή το LastPass έρχεται με μια λειτουργία αυτόματης συμπλήρωσης, η εφαρμογή αυτή θα είχε προ-συμπληρώσει οποιαδήποτε μορφή σύνδεσης σε εκείνη την σελίδα με τα διαπιστευτήρια του χρήστη.
Εάν ο εισβολέας έτρεχε έναν JavaScript κώδικα σε αυτό το site που αυτόματα θα ανέλυε και θα κατέγραφε οποιοδήποτε κείμενο συμπληρώνεται στις φόρμες σύνδεσης, θα ήταν σε θέση να πάρει τα διαπιστευτήρια του χρήστη.
Τα καλά νέα είναι ότι ο Karlsson ενημέρωσε το LastΡass για το θέμα λίγο πριν και η ομάδα προγραμματιστών διόρθωσε το πρόβλημα την ίδια ημέρα, βγάζοντας μια ενημερωμένη έκδοση της εφαρμογής τους.
Ωστόσο, ο Karlsson δεν ήταν ο μόνος που χάκαρε το LastΡass. Ο Google Project Zero κορυφαίος ερευνητής, Tavis Ormandy ,ανακάλυψε και ένα θέμα που θα μπορούσε να οδηγήσει στην πλήρη έκθεση του LastΡass.
Τα κακά νέα είναι ότι αυτό το ζήτημα δεν είναι patched στις τρέχουσες LastΡass εκδόσεις. Τα καλά νέα είναι ότι κανένας εκτός από τον Ormandy και την LastPass ομάδα δεν γνωρίζει τι είναι αυτό το πρόβλημα, καθιστώντας το εξαιρετικά απίθανο για οποιονδήποτε να το εκμεταλλευτεί.
Αυτό θα κανονικά θα ονομαζόταν zero-day ευπάθεια, αλλά αυτή δεν είναι η περίπτωση, δεδομένου ότι κανείς δεν μπορεί να επωφεληθεί από αυτό πριν patch-αριστεί.
Η ομάδα LasΡass έχει επιδιορθώσει και το δεύτερο ελάττωμα. Η ομάδα περιγράφει το πρόβλημα στο blog της ως εξής:
«Η δεύτερη έκθεση έγινε χθες από τον Google Security Team ερευνητή Tavis Ormandy, ο οποίος επικοινώνησε με την ομάδα μας για να αναφέρει ένα message-hijacking bug που επηρέασε το LastPass Firefox addon. Κατ’ αρχάς, ένας εισβολέας θα πρέπει να δελεάσει με επιτυχία έναν LastPass χρήστη για να αποκτήσει πρόσβαση σε μια κακόβουλη ιστοσελίδα. Μόλις εισέλθει, ο Ormandy απέδειξε ότι η ιστοσελίδα, μετά, θα μπορούσε να εκτελέσει LastΡass ενέργειες στο παρασκήνιο χωρίς τη συγκατάθεση του χρήστη, όπως τη διαγραφή στοιχείων. Αυτό το ζήτημα έχει αντιμετωπιστεί πλήρως και μια ενημέρωση με μια επιδιόρθωση στάλθηκε σε όλους τους χρήστες του Firefox με τη χρήση του LastΡass 4.0.»
