Ученые университета Беркли, что в Калифорнии, заявили об обнаружении целого комплекта эксплоитов в 5 наиболее востребованных парольных менеджерах.
Чтобы выявить уязвимости, исследователям пришлось провести несколько сложносоставных кибератак на такие менеджеры как LastPass, NeedMyPassword, PasswordBox, RoboForm и My1Login. В итоге ученым удалось взломать 4 менеджера, получив пользовательские учетные данные к произвольным web-ресурсам. Уязвимости были выявлены как при генерации паролей (постоянных и одноразовых), так и в функционале букмарклетов.
В качестве первопричин возникновения брешей исследователями называются логические и авторизационные ошибки и некорректные схемы кибербезопасности. Кроме этого, испытатели обнаружили уязвимости, позволяющие проводить нападения, используя межсайтовый скриптинг и подделку запросов. Еще один CSRF-эксплоит касался опции генерации одноразовых парольных комбинаций в LastPass и позволял нападающему видеть, где конкретно используется менеджер LastPass и воровать шифрованные пароли в целях дальнейшего брутфорса.
И хотя данную уязвимость исправили еще в 2013 г., однако исследователи отметили, что если пользователи обеспокоены предыдущим использованием букмарклетов для непроверенных ресурсов, хотят поменять мастер-пароль и создать новые, то делать это не следует, поскольку нападения против одноразовых паролей обычно являются целевыми, для которых хакеру требуется знание логина жертвы и проведение серии кастомизированных атак для каждого конкретного случая, с чем, отметили исследователи, они еще не сталкивались.
