 |
Приветствую друзья! Хочеться Вам представить бесплатную... |
Мастер-пароль в парольном менеджере LastPass расшифровывается с помощью вредоносного приложения Burp
Киберэксперты агенства BullGuard продемонстрировали перехват мастер-пароля одного из популярнейших бесплатных парольных менеджеров - LastPass. Подчеркну, что этот менеджер паролей имеет плагины практически для всех популярных web-браузеров, что сделало его особенно привлекательным для хакеров.
Следует заметить, что обязательной составляющей успешного кибернападения против LastPass является наличие на ПК такого приложения как Samsung Kies, разработанного в целях синхронизации самого ПК и мобильных устройств.
Соединения Samsung Kies с серверами парольного менеджера LastPass проводятся через незашифрованные пакеты, что и позволило экспертам BullGuard провести нападение типа «человек посередине», когда используя зловредное приложение Burp эксперты подделали ответ сервера LastPass к Kies ( в который также был встроен зловредный код, сконструированный с помощью Metasploit и Backdoor Factory).
В итоге испытателям открылся доступ не только к данным ПК и его оперативной памяти, в которую LastPass помещает свои малозашифрованные мастер-пароли.
Правда дальнейшее изъятие данного пароля возможно только при активировании пользователей опции хранения пароля.
Отмечу, что с момента демонстрации возможности взлома LastPass так и не выпустил исправляющее баг обновление.
|
|
|
|
|
|