In English

24 augusti, 2016

Sentors konsult hittade säkerhetsbrist i lösenordshanteraren LastPas

Lösenordshanterare har fått fler användare i takt med att antalet lösenord vi behöver hålla reda på blir allt fler. Av säkerhetsskäl är det mycket viktigt att välja unika lösenord för varje tjänst eftersom ett läckt lösenord på ett ställe annars kan användas för att logga in på tjänster på andra ställen.

Att memorera alla sina lösenord är det få som klarar av. Många återanvänder lösenord, medan andra väljer att skriva ned lösenorden fysiskt. Men sen finns det även en del som väljer digitala lösningar. Där lösenordshanterare är ett populärt val.

Med en lösenordshanterare skapar du ett krypterat valv där lösenord och andra hemliga uppgifter lagras. Krypteringen sker med hjälp av den nyckel som skapas utifrån det lösenord du väljer. Därför bör lösenordet till din lösenordshanterare vara extremt svårknäckt och skyddas noga.

De mest populära lösenordshanterarna går att använda tillsammans med de populäraste webbläsarna och det går att synka ditt valv till dina olika enheter. På så vis kan du logga in på ett säkert sätt, oavsett vilken enhet eller webbläsare du använder.

Den stora nackdelen är att om någon får tag på ditt lösenord till lösenordshanteraren, så får de tillgång till alla dina lösenord. Det krävs egentligen bara en ändring av huvudlösenordet för att du inte längre ska kunna komma åt ditt konto.

Det är också av största vikt att företagen som erbjuder lösenordshanterare sköter sin egen säkerhet till punkt och pricka eftersom så många andra förlitar sig på dem. En som hittade en säkerhetsbrist i en lösenordshanterare är Mathias Karlsson, som arbetar som säkerhetskonsult på Sentor.

Mathias hittade en säkerhetsbrist i lösenordshanteraren LastPass som innebar att han via webbläsartillägget till Chrome kunde komma åt en användares lösenord.

Sårbarheten har sin grund i hur tillägget tolkar webbaddresser. Genom att konstruera webbadresser på ett visst sätt upptäckte Mathias att han kunde få LastPass-tillägget att avslöja en användares inloggningsuppgifter på en viss webbplats.

Mathias skriver själv att buggen möjliggjorde att extrahera lösenord som fanns i autofill-funktionaliteten. Lastpass lägger till HTML-kod till varje sida som besöks av användaren. Den tolkar webbadressen för att avgöra vilken domän användaren besöker, för att sedan fylla rätt i lösenord.

När Mathias istället valde att göra så här: http://mathiasdomän.se/@twitter.com/@hehe.php—så lurade han LastPass att han skulle besöka Twitter när så inte var fallet. Istället kunde han fånga upp det lösenord som användes för att logga in på Twitter.

Eftersom det här hade kunnat göras i bakgrunden skulle det här kunnat ske utan att användaren hade en aning. Om en angripare hade använt iframes, skulle det även ha varit möjligt att stjäla flera lösenord samtidigt, eftersom flera HTML-sidor då kunde bäddats in på samma sida.

Mathias rapporterade ansvarsfullt in säkerhetsbristen till LastPass som inom 24 timmar hade patchat sårbarheten. För fyndet fick Mathias 1000 dollar i belöning.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.