Passwörter gefährdet 17.09.2019, 09:47 Uhr

LastPass-Lücke gibt Zugriff auf letztes Login

LastPass erlaubte Angreifern das Auslesen des zuletzt verwendeten Passworts. Dazu musste das Opfer lediglich auf eine präparierte Webseite gelockt werden. Entdeckt wurde das Leck von Googles Project Zero. Mittlerweile steht ein Update von LastPass bereit.
(Quelle: II.studio / shutterstock.com)
Der Google-Sicherheitsexperte Tavis Ormandy hat eine Schwachstelle im Passwortmanager von LastPass ausfindig gemacht. Mittels präparierter Webseite hatten Kriminelle damit die Möglichkeit, das zuletzt über das Tool eingegebene Kennwort auszulesen.
Ormandy beschreibt auf Googles Projct-Zero-Blog, wie ein entsprechender Angriff zum Erfolg geführt hätte: Dazu musste das Opfer lediglich auf eine präparierte Webseite gelockt werden. Schafft es der Kriminelle nun, den betroffenen Nutzer zum Klicken auf ein spezielles Element zu verleiten, bekommt er die Log-in-Daten der zuvor besuchten Webseite geliefert. Möglich sei dies, da LastPass an diesem Punkt versäumt hatte, den Tab-Credential-Cache zu aktualisieren und damit alle vorher eingegebenen Daten zu eliminieren.
Um seinen Fund zu demonstrieren, stellt Ormandy auf der Project-Zero-Seite ein Beispiel bereit. Interessierte Coder können den dort zur Verfügung gestellten Code in ihre Befehlskonsole einfügen und das Ergebnis begutachten.


Das könnte Sie auch interessieren