У менеджері паролів LastPass виправлена ??серйозна уразливість, що дозволяє обійти механізм двофакторної аутентифікації. За словами виявив уразливість дослідника Мартіна Віго (Martin Vigo), проексплуатувати її можна, тільки попередньо зламавши майстер-пароль користувача.
Не варто недооцінювати проблему. Двухфакторная аутентифікація є другий рівень захисту на випадок, якщо зловмисникам якимось чином вдалося заволодіти майстер-паролем користувача. Виявлена ??Віго вразливість зводить ефективність двофакторної аутентифікації в LastPass до нуля, роблячи її абсолютно марною.
Проблема полягала в тому, що закриті криптографічні ключі LastPass у вигляді QR-коду зберігалися по URL-адресою, створеному на основі пароля. Атакуючому, якому відомий даний пароль, достатньо лише обчислити зберігається локально QR-код, отримати другий код двофакторної аутентифікації і відкрити чужий менеджер паролів.
Віго описав атаку наступним чином. Атакуючий за допомогою соціальної інженерії заманює користувача на сайт з XSS-вразливістю.
Потім він отримує QR-код по локальному URL-адресою, створеному на основі відомого йому пароля, і за допомогою XSS-атаки завантажує і зберігає його зображення. Далі зловмисник сканує QR-код за допомогою програми Google Authenticator, використовуваного LastPass для двофакторної аутентифікації, отримує другий код і може відкрити менеджер паролів.
Віго повідомив виробнику про проблему в лютому поточного року, і в той же день було випущено тимчасове виправлення. 20 квітня вразливість була виправлена ??повністю.