Een kwetsbaarheid in de populaire online wachtwoordmanager LastPass maakt het mogelijk voor kwaadwillenden om wachtwoorden te stelen. Het probleem was aanwezig in LastPass voor Google Chrome en Internet Explorer, maar is daar opgelost. Alleen de Firefox-versie is op dit moment nog lek.
LastPass is een populaire clouddienst waar gebruikers hun wachtwoorden voor allerlei websites en diensten in een "kluis" kunnen opslaan. De software komt in de vorm van een add-on voor de browser. Beveiligingsonderzoeker Matthew Bryant ontdekte dat de browseruitbreiding kwetsbaar is voor clickjacking. Hierbij kunnen aanvallers de "click" van een gebruiker kapen en voor andere doelen gebruiken.
Een kwaadaardige website kan het venster voor het automatisch invullen van wachtwoorden van een "overlay" voorzien en zo het wachtwoord van gebruikers stelen als die kunnen worden verleid om hun wachtwoord te kopiëren en te plakken. De aanval werkt alleen op websites die geen gebruik van de X-Frame-Options header maken. Deze header kan worden gebruikt om te bepalen of een browser een pagina in een frame, iframe of object mag weergeven. Websites kunnen de header gebruiken om te voorkomen dat hun content op andere websites wordt embedded, en zo clickjacking-aanvallen voorkomen.
Bryant waarschuwde LastPass op 3 april van dit jaar. Op 22 april werd de Chrome-versie van LastPass gepatcht. Uiteindelijk verscheen er ook een update voor de IE-versie. Hoewel de LastPass-ontwikkelaars ook een patch voor de Firefox-versie ontwikkelden en deze aan Mozilla voorlegden, is de patch nog altijd niet door Mozilla gecontroleerd. Iets dat volgens Bryant het engste aan dit lek is. "Het is zorgwekkend dat beveiligingsupdates voor Mozilla add-ons maanden nodig hebben om de gebruiker te bereiken. Het heeft zeker mijn visie op Firefox vanuit een beveiligingsperspectief veranderd", zo merkt hij op. Ter demonstratie maakte de onderzoeker onderstaande video.
De kritiek van Bryant lijkt bij nader inzien ongegrond, aangezien er op 24 april van dit jaar een update voor de Firefox-versie verscheen waarin er maatregelen zijn genomen om de aanval die de onderzoeker beschrijft te voorkomen. We hebben Bryant om een reactie gevraagd of het probleem inderdaad in deze versie, met het nummer 3.1.95, is verholpen.
Bryant stelt in een reactie aan Security.NL dat de versie die LastPass op de eigen website aanbiedt is gepatcht, maar dat de versie die via addons.mozilla.org wordt aangeboden nog steeds kwetsbaar is. Gebruikers zouden dan ook handmatig de nieuwe versie moeten installeren om beschermd te zijn.
Bryant stelt dat Mozilla de Firefox-versie uiteindelijk 6 juli goedkeurde, nadat hij op 1 juli zijn onthulling en kritiek op het trage goedkeuringsproces had geopenbaard. Daarnaast staat erin de logs ten onrechte dat de versie sinds 24 april beschikbaar zou zijn, terwijl eind juni nog steeds de kwetsbare versie werd aangeboden.
Deze posting is gelocked. Reageren is niet meer mogelijk.