Sicherheitsforscher entlockt Passwortmanager LastPass Kennwörter

  • TIPP

  • mad.de
  • 1573 Aufrufe 1 Antwort

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Sicherheitsforscher entlockt Passwortmanager LastPass Kennwörter

    Mit einem Update haben die Entwickler von LastPass ein Datenleck geschlossen, über das Passwörter hätten abfließen könnten.

    Googles bekannter Sicherheitsforscher Tavis Ormandy hat gezeigt, wie eine beliebige Website dem Passwort-Manager LastPass mit etwas Trickserei das letzte verwendete Passwort einer anderen Seite entlocken konnte. Mittlerweile haben die Entwickler das Sicherheitsproblem gelöst und die Ausgabe 4.33.0 ist abgesichert.

    Damit das klappt, hätten Angreifer Opfer auf eine präparierte Website locken und es dazu bringen müssen, Elemente anzuklicken (Clickjacking). Log-in-Daten einer vorher besuchten Seite hätten leaken könne, weil LastPass den Tab-Credential-Cache nicht aktualisiert hat. In einem Beitrag beschreibt Ormandy im Detail, wie das funktionierte.

    Quelle: Sicherheitsforscher entlockt Passwortmanager LastPass Kennwörter | heise online

  • LastPass-Lücke gibt Zugriff auf letztes Login
    LastPass erlaubte Angreifern das Auslesen des zuletzt verwendeten Passworts. Dazu musste das Opfer lediglich auf eine präparierte Webseite gelockt werden.
    von Alexandra Lindner 17.09.2019

    Der Google-Sicherheitsexperte Tavis Ormandy hat eine Schwachstelle im Passwortmanager von LastPass ausfindig gemacht. Mittels präparierter Webseite hatten Kriminelle damit die Möglichkeit, das zuletzt über das Tool eingegebene Kennwort auszulesen.

    Ormandy beschreibt auf Googles Projct-Zero-Blog, wie ein entsprechender Angriff zum Erfolg geführt habe: Dazu musste das Opfer lediglich auf eine präparierte Webseite gelockt werden. Schafft es der Kriminelle nun, den betroffenen Nutzer zum Klicken auf ein spezielles Element zu verleiten, bekommt er die Login-Daten der zuvor besuchten Webseite geliefert. Möglich sei dies, da LastPass an diesem Punkt versäumt hatte, den Tab-Credential-Cache zu aktualisieren und damit alle vorher eingegebenen Daten zu eliminieren.

    Um seinen Fund zu demonstrieren, stellt Ormandy auf der Project-Zero-Seite ein Beispiel bereit. Interessierte Coder können den dort zur Verfügung gestellten Code in ihre Befehlskonsole einfügen und das Ergebnis begutachten.

    Update von LastPass bereitgestellt

    Wie bei einem derartigen Fund üblich, hat der Google-Forscher das Sicherheitsleck an LastPass gemeldet und eine Frist von 90 Tagen abgewartet, ehe die Lücke öffentlich gemacht wurde. Die Anbieter des Passwortmanagers haben prompt darauf reagiert und stellen inzwischen ein entsprechend bereinigtes Tool bereit.

    Mit dem Update auf die aktuelle Version 4.33.0 wurde der Fehler beseitigt. Das Update steht für die meisten Betriebssysteme sowie für die Browser Chrome, Firefox, Safari, Internet Explorer, Opera und Microsoft Edge bereit. In der Regel wird LastPass automatisch aktualisiert, alternativ kann der Passwortmanager aber auch aus den bekannten App-Stores bezogen werden.


    Quelle: LastPass-Lücke gibt Zugriff auf letztes Login