LastPass hat Sicherheitslücke angeblich nur unzureichend gepatcht
Das hat deren Entdecker, der Sicherheitsforscher Sean Cassidy, am Wochenende in Washington demonstriert. Betroffen sind Nutzer, die ihren Passworttresor auch auf den Servern von LastPass abgelegt haben. Bei ihnen bestehe durch die Lücke die Gefahr, dass alle Passwörter entwendet werden.
Am Wochenende hat der Sicherheitsforscher Sean Cassidy auf der ShmooCon in Washington eine Lücke im Passwortmanager LastPass dargelegt. Ihm zufolge ist es möglich, Nutzer durch geschickte Täuschung dazu zu verleiten, sowohl das Masterpasswort für LastPass als auch den Code für die Zwei-Faktor-Authentifizierung einem dafür präparierten Server zu übergeben, wie US-Medien berichten.
Wie Sean Cassidy gezeigt hat, reicht es dazu aus, das Opfer auf eine Website zu locken, die per JavaScript die Benachrichtigung erzeugt, dass der Nutzer nicht mehr bei LastPass angemeldet sei. Die der Originalnachricht von LastPass nachempfundene Meldung, leitet das Opfer dann zu einer gefälschten Anmeldeseite um. Gibt er dort wie verlangt sein Masterpasswort und den möglicherweise erforderlichen Code für die Zwei-Faktor-Authentifizierung an, gelangen diese Informationen in die Hände des Angreifers. Der habe anschließend Zugriff auf die LastPass-API und könne den vollständigen Passworttresor eines Nutzer herunterladen.
Einfallstor ist dem Sicherheitsforscher zufolge eine Cross-Site-Request-Forgery-Lücke. Sie erlaube es beliebigen Websites, dem Passwortmanager eine Log-out-Benachrichtigung zu senden. LastPass habe er im November über die Schwachstelle informiert.
Inzwischen stehe auch ein Patch zur Verfügung, der verhindern soll, dass Nutzer durch das von Cassidy entwickelte Phishing-Tool abgemeldet werden. Zudem warnt LastPass Nutzer nun, wenn sie ihr Masterpasswort in ein Webformular eingeben sollen, das nicht von LastPass stammt.
Cassidy erachtet die Gegenmaßnahmen jedoch als unzureichend. Da die Warnung genauso wie die Log-out-Meldung über einen Browser angezeigt wird, könne eine von einem Angreifer kontrollierte Website sie erkennen und leicht unterdrücken.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp der Redaktion: Fast schon regelmäßig verschaffen sich Hacker Millionen Nutzerdaten von Online-Diensten Das können Sie alleine nicht verhindern. Doch mit unseren Tipps für eine sichere Passwort-Strategie müssen Sie sich weniger Sorgen um Ihre virtuellen Identitäten machen.