نقص امنیتی موجود درافزونهی LastPass، میتواند منجر به سرقت رمزهای عبور و یا اجرای کد به صورت Remote، در مرورگرهای Chrome و Firefox شود.
در دنیای دیجیتال امروز، نگهداری از رمزهای عبور به یکی از دغدغههای اصلی کاربران اینترنتی تبدیل شده است. در راستای همین موضوع، مرورگرهای Chrome و FireFox افزونههایی را برای کاربران خود عرضه نمودهاند. مسئله مهم و اساسی در نگهداری از رمزهای عبور تامین امنیت لازم برای آنها میباشد. Tavis Ormandy که از محققان امنیتی گوگل در تیمِ Project Zero میباشد، اخیرا در خصوص نقصهای امنیتی موجود در افزونهی LastPass هشدار داده است. Ormandy بیان نمود: در افزونهی LastPass نقصهایی وجود دارد که در صورت ورود کاربر به یک سایت مخرب، امکان سرقت رمزهای عبور از نرمافزار مدیریت رمزهای عبور فراهم میگردد.
شرکت تولیدکنندهی این افزونه با قبول نقصهای امنیتی موجود در آن اعلام نمود: نقص امنیتی موجود در این افزونه در مرورگر Chrome رفع گردیده است و برای رفع آن در Firefox نیز در حال فعالیت میباشیم.
Ormandy توانسته است نقص امنیتی موجود در افزونه LastPass در Chrome را بر روی ویندوز Exploit نماید و مدعی است که این فرآیند Exploit را میتوان بر روی دیگر پلتفرمها نیز اجرا نمود.
با توجه به صحبتهای وی، تعداد زیادی پروتکل RPC و دستورات داخلی با دسترسیهای سطح بالا در افزونهی LastPass وجود دارد که امکان به دست گرفتن کنترل کامل این افزونه را برای مهاجمان فراهم میکند و فعالیتهایی از جمله سرقت رمز عبور را امکانپذیر میسازند.
در صورت نصب Binary Component که به صورت پیشفرض در مرورگرهای Internet Explorer و Firefox موجود میباشد، امکان اجرای کدهای دلخواه نیز عملی میگردد. لازم به ذکر است که امکان اجرای Code به صورت Remote یک آسیبپذیری جدی محسوب میگردد.
Ormandy به منظور جلوگیری از سوء استفادههای امنیتی، تا زمانی که شرکت مربوطه، روش رفع آسیبپذیری RCE در مرورگر Chrome را اعلام نکرده بود، اشارهای به جزئیات آن نکرد. وی همچنین اظهار امیدواری نمود که این شرکت در عوض اکتفا به حذف رکوردهای DNS، این مشکل امنیتی را به شیوهای اصولی برطرف کرده باشد؛ در غیر اینصورت امکان آن وجود خواهد داشت که از پاسخهای DNS در حملات Man-in-the-Middle استفاده شود.
اخیرا شرکت سازندهی این افزونه اعلام کرده است که در نظر دارد افزونهی LastPass 3.3.2 در فایرفاکس را غیرفعال نماید؛ این اقدام به دنبال تصمیم Mozilla مبنی بر انتقال از Add-On API به WebExtensionها میباشد.
این اولین بار نیست که محققان امنیتی افزونهی LastPass را مورد انتقاد قرار دادهاند ولی با این حال تمایل به استفاده از آن همچنان وجود دارد. توصیه میشود که در صورت نیاز به این افزونه، آخرین نسخهی آن استفاده شود. برخی کارشناسان امنیتی معتقدند که این نرمافزار باید با نرمافزارِ مدیریت رمز عبور دیگری جایگزین شود، در حالی که برخی در اختیار داشتن اینگونه نرمافزارها را بهتر از نبود آن و استفاده از یک رمز عبور یکسان و قدیمی برای سایتهای مختلف میدانند.