Hacker này đã khiến LastPass giao nộp toàn bộ mật khẩu của bạn cho anh ấy như thế nào?

    Nguyễn Hải,  

    Rất may chỉ trong một thời gian ngắn sau khi được thông báo, lỗi này đã được sửa.

    Đối với những người chưa biết, LastPass là một trong những ứng dụng quản lý mật khẩu phổ biến nhất trên thế giới trên các trình duyệt như Chrome, với hơn 4 triệu người dùng extension này.

    Tuy nhiên, một nhà nghiên cứu về bảo mật, anh Mathias Karlsson bắt đầu nhận thấy rằng extension này đã bổ sung thêm một số dòng code vào mọi trang mà anh truy cập, vì vậy anh quyết định thâm nhập vào xem cách ứng dụng này thực sự hoạt động. Và chỉ không lâu sau, anh bắt đầu tìm thấy một số điều tồi tệ, thực sự tồi tệ.

    Một lỗi rất tệ

    Một lỗi của ứng dụng này cho phép Karlsson trích xuất mật khẩu được tìm thấy trong phần chức năng nhập mật khẩu tự động. Đầu tiên, dòng code phân tích cú pháp của URL để hình dung được trình duyệt đang truy cập vào tên miền nào, sau đó nó sẽ điền bất cứ form đăng nhập nào với các thông tin được lưu trữ. Tuy nhiên, dòng code phân tích cú pháp URL đã bị lỗi (không thể tin được, lỗi ngay trong phần phân tích URL ư?)

    Dưới đây là đoạn code đó (hàm IpParseUri – un-minified)

    Bằng cách truy cập đường link này: http://avlidienbrunn.se/@twitter.com/@hehe.php, trình duyệt sẽ xem như đang truy cập vào tên miền avlidienbrunn.se , trong khi extension LastPass lại xem như đang truy cập vào trang twitter.com. Đó là do đoạn code chỉ mã hóa đoạn URL ở sau ký tự @, nên tên miền thực sự (avlidienbrunn.se) sẽ bị xem như phần tên truy cập vào đường URL.

    Bạn không tin đó là sự thật ư?

    Với hình ảnh dưới đây, bạn có thể thấy extension này đang cho Karlsson thấy thông tin về tài khoản trên trang twitter.com bằng cách tự điền vào form truy cập với các thông tin được lưu trữ sẵn. Karlsson cho biết với cách làm tương tự, anh cũng có thể trích xuất thông tin từ các trang web phổ biến khác mà mọi người thường truy cập.

    Sau đó anh đã thông báo về lỗi này với LastPass thông qua trang công bố trách nhiệm của họ, và báo cáo của anh đã được xử lý rất chuyên nghiệp. Lỗi này đã được sửa chữa chỉ trong vòng chưa đến một ngày, và thậm chí họ còn thưởng cho Karlsson số tiền 1.000 USD vì đã thông báo lỗi.

    Liệu ứng dụng quản lý mật khẩu này có tồi quá không?

    Vậy chúng ta có nên dừng sử dụng ứng dụng quản lý mật khẩu này? Không. Nó vẫn khá tốt nếu so với các đối thủ cạnh tranh khác (vì cho phép tái sử dụng mật khẩu).

    Cho dù vậy, tốt nhất bạn nên dành một vài giây để vô hiệu hóa chức năng tự điền thông tin, bởi vì đây không phải ứng dụng đầu tiên mắc lỗi ở chức năng tự điền thông tin, và chắc chắn đó chưa phải là ứng dụng cuối cùng.

    Ngoài ra cách làm này sẽ không khai thác được thông tin nếu chức năng xác thực nhiều lớp được bật lên, vì vậy tốt nhất bạn nên kích hoạt chức năng này.

    Tham khảo Detectify

    Tin cùng chuyên mục
    Xem theo ngày

    NỔI BẬT TRANG CHỦ