Популярные Программы-менеджеры Паролей Позволяют Мошенникам Получить Доступ К Данным Пользователей

Cartman

Алкоголик
Проверенный пользователь
6 Апр 2014
463
Ratings
27
93
Гривна
0
#1
Группе ученых из The University of California, Berkeley (Калифорнийского университета в Беркли), увлеченных поиском уязвимостей в менеджерах паролей, удалось найти их в пятёрке самых популярных программ: NeedMyPassword, PasswordBox, My1Login, RoboForm и LastPass. Они атаковали эти менеджеры паролей, без особого труда взломали четыре из них и получили доступ к учётным пользовательским данным к самым разным сайтам.


Бреши были обнаружены не только в функции, генерирующей общие и одноразовые пароли, но и в букмарклетах. Они возникли из-за ошибок авторизации, логических ошибок и неточностей в моделях веб-безопасности. Плюс ко всему были выявлены уязвимости, при помощи которых хакеры имеют великолепную возможность успешно атаковать межсайтовый скриптинг и производить межсайтовую подделку запросов.

Что касается программы LastPass, интегрирующей Safari на iOS, то из-за брешей в опции её букмарклетов-«закладурок», злоумышленники могут обманным путём заставить пользователей запустить на сайте атакующего Java-код и получить доступ к их учётным данным, которые сохраняются в менеджере паролей. К примеру, кардер может создать фальшивый сайт для онлайн-банкинга, заставив таким образом пусть даже и незначительную часть пользователей LastPass (около 1%) использовать для входа букмарклеты и открыть мошенникам доступ к своим учетным данным в этом менеджере паролей.

Другая брешь в указанной программе затрагивает функцию создания одноразовых паролей. Благодаря этой уязвимости атакующий может видеть, в каких устройствах и приложениях применяется LastPass и похищать зашифрованные пользовательские пароли, чтобы использовать их для брутфорса.
 

vetal228

Пользователь
Проверенный пользователь
11 Апр 2018
1,162
Ratings
478
113
24
Гривна
0
#2
Они риал работают?сам проверял то?)))