LastPassブラウザ拡張機能のバグにより、ハッカーはパスワードを取得できます

月の初めに、CIAによるハッキングツールから「ミームマジック」の探索まで、あらゆるものがWikiLeaksにダンプされ、世界中に公開されたVault7のリークに関してサイバーセキュリティの専門家がいたるところにいるのを見ました。

わずか数週間が経過しましたが、LastPassのブラウザ拡張機能のバグにより、ハッカーが無防備なユーザーからパスワードを取得できるようになるため、3月はアクション満載の月であり続けます。

バグ

LastPassのGoogleChrome拡張機能のバグは、月曜日にGoogleのProjectZeroのメンバーであるTavisOrmandyによって発見されました。最初のバグ（ハッカーがログインしているサーバーとのコンピューターの通信を乗っ取ってパスワードにアクセスする際にコードを書き込むことができる）は、このレポートにあります。このレポートには、ハッカーの概念実証コードも含まれています。興味があります。

Ormandyによって発見されたもう1つのバグは、LastPassのFirefox拡張バージョン3.3.2（古いものですが、依然として非常に人気があります）にありました。これにより、ハッカーはユニバーサルクロスサイトスクリプトを実行して、アラートを通じてユーザーのパスワードを明らかにすることができます。

火曜日にLastPassは、問題の調査中に認証情報の転送を担当する内部サービスドメイン（NXDOMAINなど）が存在しないように見せ、水曜日にChrome拡張機能の問題を修正したという発表を投稿しました。

Firefoxの拡張機能に関する限り、3.xバージョンのブランチはとにかく4月に廃止されるため、そのままにしておきました。明確にするために、これは告発ではありません。彼らは発表の中でそれを公然と述べています。「このバグは昨年私たちのチームに報告され、その時に修正されました。ただし、修正はレガシーFirefox3.3.xブランチにプッシュダウンされませんでした。この支店は4月に正式に引退する予定です。 」

何をすべきか

LastPassのサービスを使用する場合は、ブラウザの拡張機能が可能な限り最新であることを確認することを強くお勧めします。それ以外に、警戒すべき差し迫った脅威はありません。一般に、これはすべての拡張機能で行う必要があります。デフォルトでは、ChromeとFirefoxの両方がこれらの更新を実行するため、オプトアウトしている場合は、今がそのことを考え直す良い機会かもしれません。

より大きな懸念がありますが…

これを言っても、今日のテクノロジー業界の状況では誰もポイントを獲得できないことは確かですが、言わなければなりません。利便性とセキュリティは通常です。 二分法。私たちの最も熱心なコメント投稿者の1人は、CIAのVault 7リークについて報告したときに、同様の発言をしました。

使用しているテクノロジーとの親密な関係（パスワードや個人情報の共有など）が進むにつれて、ハッカーに私たちを危険にさらすもう1つの方法を効果的に提供しています。侵害は、テクノロジーが私たちを危害から保護できるかどうかを自問する前に、テクノロジーを公然と信頼しているために発生します。

LastPassは、ユーザーが自分のパスワードで信頼できるようにするためにできる限りのことを行うサービスです。これは、オンラインでの存在の鍵です。しかし、それらに敬意を表して、私たちは自分自身に問いかける必要があります。ある日、バグが悪用される前にパッチを適用するのに十分な運がなかったらどうなるでしょうか。アプリケーションコードに予期しない問題が発生したために、ハッカーが侵入してすべての情報を公開している場合はどうなりますか？

LastPassへの侵入は以前に発生しており、最新のものは2015年です。その後、2016年7月、より慈悲深いハッカーが、一般に悪用される可能性のあるバグを明らかにすることを決定しました。

ここでの考え方は、決して自己満足してはならないということです。確かに、これらのエクスプロイトの多くは、確かに本来よりも少し誇大宣伝されています。ただし、サービスに個人的なものを提供するたびに、危険な領域に足を踏み入れていることに注意する必要があります。メリットがリスクを上回る場合もありますが、何にサインアップするかを完全に知らされて初めて、その決定を下すことができます。

パスワードマネージャーを使用していますか？使用しているサービスで違反が発生する可能性についてどう思いますか？コメントで教えてください！