Een onderzoeker heeft gisteren een phishingaanval op de online wachtwoordkluis LastPass onthuld waarmee een aanvaller het e-mailadres, wachtwoord en zelfs twee-factor authenticatiecode van gebruikers kan stelen, om vervolgens toegang tot wachtwoorden en documenten in de kluis te krijgen.
LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een "kluis" kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden. Onderzoeker Sean Cassidy heeft een aanval bedacht om dit hoofdwachtwoord te stelen, wat hij heel toepasselijk "LostPass" noemt. Het probleem wordt veroorzaakt doordat LastPass berichten in de browser toont die door aanvallers kunnen worden nagemaakt. "Gebruikers kunnen het verschil tussen een echte melding en de LostPass-melding niet zien, omdat die tot op de pixel nauwkeurig hetzelfde is." Cassidy kwam op het idee nadat LastPass in zijn browser een venster liet zien dat zijn sessie was verlopen en hij opnieuw moest inloggen. Volgens de onderzoeker had elke kwaadaardige website deze melding kunnen laten zien. Aangezien LastPass-gebruikers verwachten dat dit soort meldingen in de browser verschijnen, zou dit niet opvallen.
Als gebruikers op de melding klikken krijgen ze een inlogvenster te zien, dat wederom in de browser wordt getoond. Aangezien de programmeerinterface (API) van LastPass op afstand benaderbaar is, kwam Cassidy met het idee voor een aanval. Een gebruiker krijgt als eerste een nagemaakte melding te zien. Nadat erop de melding is geklikt wordt gecontroleerd of de gebruiker inderdaad LastPass geïnstalleerd heeft. Als dit het geval is, wordt er cross-site request forgery (CSRF) gebruikt om de gebruiker uit te loggen. Zo krijgt de gebruiker het idee dat hij echt is uitgelogd. Vervolgens wordt de gebruiker naar een phishingpagina gelokt die identiek is aan de versie van LastPass.
De wachtwoordkluis gebruikt hiervoor een pagina die vanuit de Chrome-extensie wordt geladen, herkenbaar aan "chrome-extension" in de adresbalk. Cassidy registreerde de website chrome-extension.pw die erg lijkt op het Chrome-protocol voor Chrome-extensies. Een probleem dat trouwens al langer bekend is. Vervolgens gebruikte de onderzoeker de LastPass-API om de ingevoerde gegevens in real-time te controleren en in het geval twee-factor authenticatie op het account staat ingeschakeld om de authenticatiecode te vragen.
Cassidy waarschuwde LastPass. De ontwikkelaars dachten eerst dat het voornamelijk een CSRF-probleem betrof. Vervolgens lieten ze weten dat er inderdaad sprake van een phishingaanval was en LastPass zelf geen probleem heeft. Iets waar Cassidy het niet mee eens is. "Het trainen van gebruikers om het phishingprobleem op te lossen gaat in het geval van LostPass niet werken, omdat er weinig verschil is met wat de gebruiker te zien krijgt." Om gebruikers te waarschuwen als ze hun hoofdwachtwoord op een willekeurige website invoeren kwamen de LastPass-onderzoekers met het idee om een melding in de browser te laten zien, maar deze melding kan door de aanvaller worden afgevangen.
Volgens Cassidy reageert LastPass, net als anderen in de industrie, dan ook niet goed op het risico van phishingaanvallen. "Volgens mij is het net zo erg, misschien zelfs erger, dan kwetsbaarheden die het op afstand uitvoeren van code mogelijk maken en moet het ook zo behandeld worden." Cassidy demonstreerde gisteren zijn LostPass-aanval tijdens de ShmooCon-conferentie en heeft de code voor het uitvoeren ervan openbaar gemaakt. Hieronder de melding die LastPass laat zien, met daaronder de echte inlogpagina en de phishingpagina, herkenbaar aan de tld-extensie eindigend op .pw.
Deze posting is gelocked. Reageren is niet meer mogelijk.