Gravierende Sicherheitslücken im Passwortmanager LastPass gefunden
Sie wurden von Tavis Ormandy von Googles Project Zero entdeckt. Er berichtet von “einer Reihe von offensichtlich kritischen Problemen”. Ormandy zufolge ist das vollständige Auslesen aller gespeicherten Passwörter möglich. Der Hersteller arbeitet bereits an der Behebung der Schwachstellen.
Tavis Ormandy von Google Project Zero hat als kritisch eingestufte Probleme im Passwortmanager LastPass entdeckt, die letztlich eine vollständige Kompromittierung aus der Ferne erlauben – was hier offenbar dem Auslesen aller gespeicherten Passwörter gleichkommt. Der vom Sicherheitsforscher informierte Hersteller arbeitet inzwischen an der Behebung der Schwachstellen.
Die Nutzer machte Ormandy mit zwei prägnanten Tweets aufmerksam. “Gibt es wirklich Leute, die dieses LastPass-Ding benutzen?” fragte er in der ersten Nachricht und kündigte an: “Ich habe mir das kurz angesehen und kann eine Reihe von offensichtlich kritischen Problemen sehen. Ich werde so schnell wie möglich einen Bericht senden.” Mit einem zweiten Tweet bestätigte er den Vollzug: “Vollständiger Bericht an LastPass geschickt, sie arbeiten jetzt daran. Ja, es geht um eine vollständige Kompromittierung aus der Ferne.”
Mehr ist derzeit nicht bekannt, was Ungewissheiten für Millionen von potenziell betroffenen Anwendern schafft. Sie wissen nicht, ob Features wie Zwei-Faktor-Authentifizierung oder der Einsatz anderer Sicherheits-Add-ons Nutzer und Daten vor Angriffen schützen könnten. Unklar ist zudem, ob die Infrastruktur von LassPass betroffen ist, mobile Apps, die Browser-Erweiterung oder andere Produkte. Ghacks.net tippt auf die Browser-Erweiterung, da Ormandy sich diese wahrscheinlich wegen ihrer Verfügbarkeit für den Google-Browser Chrome angesehen habe.
Bereits Anfang des Jahres hatte der Sicherheitsforscher Sean Cassidy moniert, dass eine von ihm zuvor entdeckte Sicherheitslücke in LastPass nur unzureichend gepatcht worden sei. Betroffen gewesen sein sollen Nutzer, die ihren Passworttresor auch auf den Servern von LastPass abgelegt haben. Bei ihnen habe durch die Lücke die Gefahr bestanden, dass alle Passwörter entwendet werden.
Das im vergangenen Jahr von LogMeIn übernommene LastPass bietet den gleichnamigen Online-Passwortmanager für Privatanwender als kostenlose und als Premium-Variante an. Als Open-Source-Alternative ist KeePass verbreitet.
Anfang dieses Jahres entdeckte Google-Forscher Ormandy bereits eine kritische Lücke in Trend Micros Passwortmanager. Die Kategorie der Passwortmanager hält er offenbar für besonders prüfungsbedürftig und kündigte an, sich gleich einen weiteren vorzunehmen: “Ja, ich verspreche, mir 1Password anzusehen.”