نقص امنیتیِ افزونه ی LastPass در مرورگر‌های Chrome و Firefox

0
93
LastPass

نقص امنیتی موجود درافزونه‌ی LastPass، می‌تواند منجر به سرقت رمز‌های عبور و یا اجرای کد به صورت Remote، در مرورگر‌های Chrome و Firefox شود.

در دنیای دیجیتال امروز، نگهداری از رمزهای عبور به یکی از دغدغه‌های اصلی کاربران اینترنتی تبدیل شده است. در راستای همین موضوع، مرورگر‌های Chrome و FireFox افزونه‌هایی را برای کاربران خود عرضه نموده‌اند. مسئله مهم و اساسی در نگهداری از رمزهای عبور تامین امنیت لازم برای آن‌ها می‌باشد. Tavis Ormandy که از محققان امنیتی گوگل در تیمِ Project Zero می‌باشد، اخیرا در خصوص نقص‌های امنیتی موجود در افزونه‌ی LastPass هشدار داده است. Ormandy بیان نمود: در افزونه‌ی LastPass نقص‌هایی وجود دارد که در صورت ورود کاربر به یک سایت مخرب، امکان سرقت رمزهای عبور از نرم‌افزار مدیریت رمز‌های عبور فراهم می‌گردد.

شرکت تولید‌کننده‌ی این افزونه با قبول نقص‌های امنیتی موجود در آن اعلام نمود: نقص امنیتی موجود در این افزونه در مرورگر Chrome رفع گردیده است و برای رفع آن در Firefox نیز در حال فعالیت می‌باشیم.

Ormandy توانسته است نقص امنیتی موجود در افزونه LastPass در Chrome را بر روی ویندوز Exploit نماید و مدعی است که این فرآیند Exploit را می‌توان بر روی دیگر پلتفرم‌ها نیز اجرا نمود.

با توجه به صحبت‌های وی، تعداد زیادی پروتکل RPC و دستورات داخلی با دسترسی‌های سطح بالا در افزونه‌ی LastPass وجود دارد که امکان به دست گرفتن کنترل کامل این افزونه را برای مهاجمان فراهم می‌کند و فعالیت‌هایی از جمله سرقت رمز عبور را امکانپذیر می‌سازند.

در صورت نصب Binary Component که به صورت پیش‌فرض در مرورگرهای Internet Explorer و Firefox موجود می‌باشد، امکان اجرای کدهای دلخواه نیز عملی می‌گردد. لازم به ذکر است که امکان اجرای Code به صورت Remote یک آسیب‌پذیری جدی محسوب می‌گردد.

Ormandy به منظور جلوگیری از سوء استفاده‌های امنیتی، تا زمانی که شرکت مربوطه، روش رفع آسیب‌پذیری RCE در مرورگر Chrome را اعلام نکرده بود، اشاره‌ای به جزئیات آن نکرد. وی همچنین اظهار امیدواری نمود که این شرکت در عوض اکتفا به حذف رکوردهای DNS، این مشکل امنیتی را به شیوه‌ای اصولی برطرف کرده باشد؛ در غیر اینصورت امکان آن وجود خواهد داشت که از پاسخ‌های DNS در حملات Man-in-the-Middle استفاده شود.

اخیرا شرکت سازنده‌ی این افزونه اعلام کرده است که در نظر دارد افزونه‌ی LastPass 3.3.2 در فایرفاکس را غیرفعال نماید؛ این اقدام به دنبال تصمیم Mozilla مبنی بر انتقال از Add-On API به WebExtensionها می‌باشد.

این اولین بار نیست که محققان امنیتی افزونه‌ی LastPass را مورد انتقاد قرار داده‌اند ولی با این حال تمایل به استفاده از آن همچنان وجود دارد. توصیه می‌شود که در صورت نیاز به این افزونه، آخرین نسخه‌ی آن استفاده شود. برخی کارشناسان امنیتی معتقدند که این نرم‌افزار باید با نرم‌افزارِ مدیریت رمز عبور دیگری جایگزین شود، در حالی که برخی در اختیار داشتن اینگونه نرم‌افزارها را بهتر از نبود آن و استفاده از یک رمز عبور یکسان و قدیمی برای سایت‌های مختلف می‌دانند.

بدون دیدگاه

دیدگاهتان را بنویسید

*