Lastpass “vá” lỗ hổng cho phép các trang web trích xuất mật khẩu sử dụng gần nhất của người dùng
Điều đáng buồn là ngay cả một phần mềm quản lý và bảo vệ mật khẩu, “lớp phòng ngự” cho sự bảo mật và riêng tư của người dùng, lại cũng dính… lỗ hổng bảo mật.
Mới đây, LastPass đã “vá” một lỗ hổng khiến các trang web độc hại được thiết kế đặc biệt có thể trích xuất mật khẩu vừa được người dùng nhập vào thông qua phần mở rộng (extension) trình duyệt của LastPass. Theo trang tin ZDNet, lỗ hổng này được phát hiện bởi Tavis Ormandy, một nhà nghiên cứu thuộc dự án Project Zero của Google, và đã được tiết lộ trong báo cáo ngày 29/8. LastPass đã khắc phục xong lỗi vào ngày 13/9, và triển khai bản cập nhật cho tất cả các trình duyệt một cách tự động, và người dùng LastPass có thể tự mình kiểm tra xem bản cập nhật này đã được cài đặt trên máy mình hay chưa.
Dưới đây là cách thức khai thác lỗ hổng này: kẻ tấn công sẽ “lừa” người dùng truy cập vào một trang web độc hại được thiết kế để lợi dụng lỗ hổng này, và đồng thời “đánh lừa” luôn cả phần mở rộng trình duyệt, khiến nó tưởng đây chính là trang web vừa được truy cập trước đó và cung cấp mật khẩu của website ấy. Ormandy ghi chú rằng kẻ tấn công có thể sử dụng các dịch vụ như Google Translate để “gài” một URL độc hại và lừa người dùng truy cập vào trang web giả mạo đó.
Mặc dù LastPass cho biết bản cập nhật này sẽ được cài đặt hoàn toàn tự động, song người dùng cũng nên chủ động kiểm tra xem phần mở rộng trình duyệt nên máy mình đã chạy phiên bản mới nhất hay chưa, đặc biệt là với các trình duyệt có chức năng “chặn” các phần mở rộng cập nhật tự động. Lỗ hổng này được “vá” ở phiên bản 4.33.0 của phần mở rộng này. LastPass cho biết công ty tin rằng chỉ có trình duyệt Chrome và Opera bị ảnh hưởng bởi lỗ hổng, song họ vẫn triển khai bản cập nhật tới phần mở rộng của các trình duyệt khác để đề phòng.
Trong một bài viết trên blog của công ty, LastPass cho biết lỗ hổng này không nghiêm trọng như các tin đồn. Ferenc Kun, quản lý kỹ thuật bảo mật của LastPass, cho biết lỗ hổng này chỉ có thể bị khai thác nếu kẻ tấn công lừa được người dùng truy cập vào một trang web độc hại và phải thực hiện thao tác nhấn chuột vào trang web đó “vài lần”. Dù vậy, Ormandy vẫn đánh giá mức độ nghiêm trọng của lỗ hổng ở mức độ nguy hiểm “Cao”. Lỗ hổng đã được báo cáo “một cách có trách nhiệm” cho LastPass trước khi được công khai ra công chúng, và chưa có bất kỳ bằng chứng nào cho thấy dấu vết về một cuộc tấn công dựa trên lỗ hổng này được triển khai trên mạng Internet.
Dù vậy, việc sử dụng một trình quản lý mật khẩu vẫn là một phương pháp hữu hiệu để đảm bảo sự an toàn của người dùng khi trực tuyến. Lỗ hổng này chỉ là minh chứng cho việc bất kỳ dịch vụ online nào, ngay cả các trình quản lý mật khẩu, cũng đều có thể “dính” lỗ hổng bảo mật. Do vậy, bạn nên thiết lập thêm các lớp bảo vệ dự phòng khác, chẳng hạn như xác thực hai yếu tố (đối với các trang web hỗ trợ công nghệ này), cùng với việc đặt mật khẩu phức tạp và không được sử dụng lại một mật khẩu nhiều lần trên các dịch vụ khác nhau.
Nguồn vnreview.vn