ดู: 61|ตอบกลับ: 0

LastPass เสี่ยงต่อการถูกโจมตี Phishing, ผู้ใช้ทุกคนต้องกดลิงก์จากอีเมลเพื่อล็อกอ

[คัดลอกลิงก์]
Yuichiro X Asuramaru By ARAM



Sean Cassidy นักวิจัยความปลอดภัยรายงานถึงแนวทางการโจมตี LastPass ด้วยการสร้างหน้าเว็บหลอก (phishing) เพื่อหลอกให้ผู้ใช้ใส่รหัสผ่านและ OTP เพื่อนำไปยิงเข้า API ของ LastPass
ตัว LastPass เองและเบราว์เซอร์โครมมีจุดที่ทำให้การโจมตีนี้มีผล เพราะลิงก์ล็อกเอาท์ของ LastPass สามารถถูกโจมตีแบบ CSRF ได้ทำให้เว็บไซต์มุ่งร้ายสามารถล็อกเอาท์จาก LastPass ได้จริงๆ และโลโก้ของ extension ก็จะแสดงว่าผู้ใช้ยังไม่ได้ล็อกอิน
อีกจุดอ่อนหนึ่งคือโครมเองที่แสดง URL ของ extension เป็นเหมือนเว็บทั่วไป ต่างไปเพียงการแสดงต้น URL เป็น chrome-extension:// ซึ่งสังเกตได้ยาก ทีมงานโครมเองกำลังพิจารณาเปลี่ยนแนวทางการแสดงเพื่อให้เห็นชัดเจนขึ้นว่า URL ใดเป็นเว็บหรือเป็น extension
ทาง LastPass ออกมาแจ้งแก้ปัญหานี้ โดยปิดช่องโหว่ CSRF เป็นอย่างแรก, ตัวปลั๊กอินจะเตือนเมื่อใส่รหัสผ่านบนหน้าเว็บที่ไม่ใช่ของ LastPass เอง, และการล็อกอินจะต้องยืนยันด้วยอีเมลอีกครั้งเสมอแม้จะเปิดการยืนยันตัวตนสองขั้นตอนไว้แล้วก็ตาม

ขออภัย! โพสต์นี้มีไฟล์แนบหรือรูปภาพที่ไม่ได้รับอนุญาตให้คุณเข้าถึง

คุณจำเป็นต้อง ลงชื่อเข้าใช้ เพื่อดาวน์โหลดหรือดูไฟล์แนบนี้ คุณยังไม่มีบัญชีใช่ไหม? ลงทะเบียน

x
ขออภัย! คุณไม่ได้รับสิทธิ์ในการดำเนินการในส่วนนี้ กรุณาเลือกอย่างใดอย่างหนึ่ง ลงชื่อเข้าใช้ | ลงทะเบียน

รายละเอียดเครดิต

ประวัติการแบน|Anime-Thai | สังคมของคนรักอนิเมะ Google+

GMT+7, 9-12-2016 20:29 , Processed in 0.036925 second(s), 15 queries , Gzip On, Xcache On.

Powered by Discuz!

© 2001-2013 Comsenz Inc.

ตอบกระทู้ ขึ้นไปด้านบน ไปที่หน้ารายการกระทู้