image

LastPass voor Firefox kwetsbaar voor wachtwoorddiefstal

donderdag 9 juli 2015, 15:52 door Redactie, 9 reacties
Laatst bijgewerkt: 10-07-2015, 14:07

Een kwetsbaarheid in de populaire online wachtwoordmanager LastPass maakt het mogelijk voor kwaadwillenden om wachtwoorden te stelen. Het probleem was aanwezig in LastPass voor Google Chrome en Internet Explorer, maar is daar opgelost. Alleen de Firefox-versie is op dit moment nog lek.

LastPass is een populaire clouddienst waar gebruikers hun wachtwoorden voor allerlei websites en diensten in een "kluis" kunnen opslaan. De software komt in de vorm van een add-on voor de browser. Beveiligingsonderzoeker Matthew Bryant ontdekte dat de browseruitbreiding kwetsbaar is voor clickjacking. Hierbij kunnen aanvallers de "click" van een gebruiker kapen en voor andere doelen gebruiken.

Een kwaadaardige website kan het venster voor het automatisch invullen van wachtwoorden van een "overlay" voorzien en zo het wachtwoord van gebruikers stelen als die kunnen worden verleid om hun wachtwoord te kopiëren en te plakken. De aanval werkt alleen op websites die geen gebruik van de X-Frame-Options header maken. Deze header kan worden gebruikt om te bepalen of een browser een pagina in een frame, iframe of object mag weergeven. Websites kunnen de header gebruiken om te voorkomen dat hun content op andere websites wordt embedded, en zo clickjacking-aanvallen voorkomen.

Waarschuwing

Bryant waarschuwde LastPass op 3 april van dit jaar. Op 22 april werd de Chrome-versie van LastPass gepatcht. Uiteindelijk verscheen er ook een update voor de IE-versie. Hoewel de LastPass-ontwikkelaars ook een patch voor de Firefox-versie ontwikkelden en deze aan Mozilla voorlegden, is de patch nog altijd niet door Mozilla gecontroleerd. Iets dat volgens Bryant het engste aan dit lek is. "Het is zorgwekkend dat beveiligingsupdates voor Mozilla add-ons maanden nodig hebben om de gebruiker te bereiken. Het heeft zeker mijn visie op Firefox vanuit een beveiligingsperspectief veranderd", zo merkt hij op. Ter demonstratie maakte de onderzoeker onderstaande video.

Update 18:58

De kritiek van Bryant lijkt bij nader inzien ongegrond, aangezien er op 24 april van dit jaar een update voor de Firefox-versie verscheen waarin er maatregelen zijn genomen om de aanval die de onderzoeker beschrijft te voorkomen. We hebben Bryant om een reactie gevraagd of het probleem inderdaad in deze versie, met het nummer 3.1.95, is verholpen.

Update 10/7 9:49

Bryant stelt in een reactie aan Security.NL dat de versie die LastPass op de eigen website aanbiedt is gepatcht, maar dat de versie die via addons.mozilla.org wordt aangeboden nog steeds kwetsbaar is. Gebruikers zouden dan ook handmatig de nieuwe versie moeten installeren om beschermd te zijn.

Update 10/7 14:07

Bryant stelt dat Mozilla de Firefox-versie uiteindelijk 6 juli goedkeurde, nadat hij op 1 juli zijn onthulling en kritiek op het trage goedkeuringsproces had geopenbaard. Daarnaast staat erin de logs ten onrechte dat de versie sinds 24 april beschikbaar zou zijn, terwijl eind juni nog steeds de kwetsbare versie werd aangeboden.

Image

Reacties (9)
09-07-2015, 16:00 door johanw
Het heeft zeker mijn visie op Firefox vanuit een beveiligingsperspectief veranderd", zo merkt hij op.
Het idee dat het misschien wel onveilig is om wachtwoorden ergens op een online server op te slaan was zeker nog niet bij hem opgekomen...
09-07-2015, 16:35 door AutomationICTSEC
Toch maar het ouderwetse a4-tje in de ordner.
09-07-2015, 17:44 door rct
Kom op redactie, doe eens wat onderzoek voordat jullie dit soort artikelen gaan publiceren. De Firefox versie (3.1.95) van LastPass die dit probleem verhelpt is al goedgekeurd en is gewoon beschikbaar.
09-07-2015, 18:33 door johanw
Door rctgamer3:De Firefox versie (3.1.95) van LastPass die dit probleem verhelpt is al goedgekeurd en is gewoon beschikbaar.
Al... Hoe lang heeft dat geduurt?
10-07-2015, 10:20 door Anoniem
Wachtwoorden horen in je hoofd. Nergens anders. Computers zijn mooi, maar software en internet zijn notoir onbetrouwbaar. Slimme oplossingen zijn loze beloften. Alle security bestaat voor zolang het duurt, en je weet nooit hoe lang dat is. Zet nooit een computer aan zonder je daarvan goed bewust te zijn.
10-07-2015, 10:44 door Anoniem
Vanaf 6 Juli heeft Mozilla de betreffende update goedgekeurd dus deze reactie van Bryant is wat mij betreft niet waar. Misschien een CTRL F5 is wat hij moet doen denk ik. :)

Zie: https://addons.mozilla.org/nl/firefox/addon/lastpass-password-manager/
10-07-2015, 13:25 door ben987
Door Anoniem: Wachtwoorden horen in je hoofd. Nergens anders. .
u gaat er voor het gemak maar vanuit dat ieder mens een goed geheugen heeft ?
11-07-2015, 16:13 door Anoniem
Door AutomationICTSEC: Toch maar het ouderwetse a4-tje in de ordner.
De kracht van een passwordmanager/safe/wallet is juist dat die niet alleen je wachtwoorden onthoudt/bewaart,maar ook nog eens dat ie ze automatisch in de login-velden voor inlog/gebruikersnaam en wachtwoord invoert,het wachtwoord wordt daarbij niet weergegeven je ziet alleen sterretjes. Maar ga jij maar lekker je wachtwoord lekker laten onthouden door je browser,of ingelogd blijven lekker veilig maar niet heus,of ga lekker je wachtwoord telkens handmatig intypen,dan is het wachten op een keylogger of screenlogger die jouw wachtwoord weergeeft en voila de hacker kan je account(s) overnemen.
12-07-2015, 18:31 door Anoniem
Leve dus KeePass, waarbij je je data gewoon dus lokaal én bij jezelf houdt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.