インターネット
 Computer >> コンピューター >  >> ネットワーキング >> インターネット

LastPassブラウザ拡張機能のバグにより、ハッカーはパスワードを取得できます

LastPassブラウザ拡張機能のバグにより、ハッカーはパスワードを取得できます

月の初めに、CIAによるハッキングツールから「ミームマジック」の探索まで、あらゆるものがWikiLeaksにダンプされ、世界中に公開されたVault7のリークに関してサイバーセキュリティの専門家がいたるところにいるのを見ました。

わずか数週間が経過しましたが、LastPassのブラウザ拡張機能のバグにより、ハッカーが無防備なユーザーからパスワードを取得できるようになるため、3月はアクション満載の月であり続けます。

バグ

LastPassブラウザ拡張機能のバグにより、ハッカーはパスワードを取得できます

LastPassのGoogleChrome拡張機能のバグは、月曜日にGoogleのProjectZeroのメンバーであるTavisOrmandyによって発見されました。最初のバグ(ハッカーがログインしているサーバーとのコンピューターの通信を乗っ取ってパスワードにアクセスする際にコードを書き込むことができる)は、このレポートにあります。このレポートには、ハッカーの概念実証コードも含まれています。興味があります。

Ormandyによって発見されたもう1つのバグは、LastPassのFirefox拡張バージョン3.3.2(古いものですが、依然として非常に人気があります)にありました。これにより、ハッカーはユニバーサルクロスサイトスクリプトを実行して、アラートを通じてユーザーのパスワードを明らかにすることができます。

火曜日にLastPassは、問題の調査中に認証情報の転送を担当する内部サービスドメイン(NXDOMAINなど)が存在しないように見せ、水曜日にChrome拡張機能の問題を修正したという発表を投稿しました。

Firefoxの拡張機能に関する限り、3.xバージョンのブランチはとにかく4月に廃止されるため、そのままにしておきました。明確にするために、これは告発ではありません。彼らは発表の中でそれを公然と述べています。「このバグは昨年私たちのチームに報告され、その時に修正されました。ただし、修正はレガシーFirefox3.3.xブランチにプッシュダウンされませんでした。この支店は4月に正式に引退する予定です。

何をすべきか

LastPassのサービスを使用する場合は、ブラウザの拡張機能が可能な限り最新であることを確認することを強くお勧めします。それ以外に、警戒すべき差し迫った脅威はありません。一般に、これはすべての拡張機能で行う必要があります。デフォルトでは、ChromeとFirefoxの両方がこれらの更新を実行するため、オプトアウトしている場合は、今がそのことを考え直す良い機会かもしれません。

より大きな懸念がありますが…

LastPassブラウザ拡張機能のバグにより、ハッカーはパスワードを取得できます

これを言っても、今日のテクノロジー業界の状況では誰もポイントを獲得できないことは確かですが、言わなければなりません。利便性とセキュリティは通常です。 二分法。私たちの最も熱心なコメント投稿者の1人は、CIAのVault 7リークについて報告したときに、同様の発言をしました。

使用しているテクノロジーとの親密な関係(パスワードや個人情報の共有など)が進むにつれて、ハッカーに私たちを危険にさらすもう1つの方法を効果的に提供しています。侵害は、テクノロジーが私たちを危害から保護できるかどうかを自問する前に、テクノロジーを公然と信頼しているために発生します。

LastPassは、ユーザーが自分のパスワードで信頼できるようにするためにできる限りのことを行うサービスです。これは、オンラインでの存在の鍵です。しかし、それらに敬意を表して、私たちは自分自身に問いかける必要があります。ある日、バグが悪用される前にパッチを適用するのに十分な運がなかったらどうなるでしょうか。アプリケーションコードに予期しない問題が発生したために、ハッカーが侵入してすべての情報を公開している場合はどうなりますか?

LastPassへの侵入は以前に発生しており、最新のものは2015年です。その後、2016年7月、より慈悲深いハッカーが、一般に悪用される可能性のあるバグを明らかにすることを決定しました。

ここでの考え方は、決して自己満足してはならないということです。確かに、これらのエクスプロイトの多くは、確かに本来よりも少し誇大宣伝されています。ただし、サービスに個人的なものを提供するたびに、危険な領域に足を踏み入れていることに注意する必要があります。メリットがリスクを上回る場合もありますが、何にサインアップするかを完全に知らされて初めて、その決定を下すことができます。

パスワードマネージャーを使用していますか?使用しているサービスで違反が発生する可能性についてどう思いますか?コメントで教えてください!


  1. Chrome ブラウザで保存したパスワードを削除する方法

    今日のデジタル時代において、パスワードは常に心に留めておく最も重要な資産の 1 つです。パスワードを誰かと共有することに懐疑的である場合は、ブラウザーが、これまでに使用したすべてのパスワードを既に認識していることを知って驚くかもしれません。はい、ほとんどすべての一般的な Web ブラウザは、デフォルトでパスワードを記憶しています。ただし、オプトアウトまたは保存したパスワードの削除を選択できます。 Google Chrome は、最大のユーザー ベースを持つ最も使用されている Web ブラウザーの 1 つです。これにより、ハッカーによって最も標的にされたブラウザーになります。 10 台中 7

  2. パスワード管理のための 6 つの Chrome 拡張機能

    デジタル化はスマートフォンや PC を敬遠していた人々が、オンラインで食料品を注文したり、医師の診察を受けたりするほどの驚くべき効果を私たちの生活にもたらしました。ほとんどすべての個人情報、医療レポート、ビデオや画像を含む思い出は、ロックとキーでキャビネットに保管されていました。デジタル化に伴い、ロックとキーはユーザー名とパスワードに置き換えられました。それらの 1 つ 1 つを思い出せないのは正常なことです。 それらを紙や個人の日記に書くことは、誰かがこれらの個人的な文書を手に入れることができる場合、解決策にはなりません。盗難。複数の資格情報の問題が発生したため、世界中のソフトウェア開発会社