نرم‌افزار مدیریت گذرواژه‌ای که گذرواژه‌ها را لو می‌دهد!

LastPass یکی از معروف‌ترین برنامه‌ها در زمینه مدیریت گذرواژه‌ها است. LastPass همچنین در قالب افزونه نیز در اختیار کاربران قرار دارد. این افزونه به گونه‌ای طراحی شده است که به‌طور خودکار اطلاعات مورد نیاز کاربران را درون فیلدهای مربوطه وارد می‌کند. ساز و کار LastPass این‌گونه است که هر کاربری یک بانک اطلاعاتی از گذرواژه‌ها و داده‌های حساس را در اختیار دارد و فقط باید گذرواژه اصلی را که به نام master از آن یاد می‌شود، به ذهن بسپارد. به این شکل کاربران دیگر نیازی ندارند گذرواژه‌های متعلق به سایت‌ها و حساب‌های مختلف را حفظ کرده یا در مکان‌های مختلف یادداشت کنند. اما به نظر می‌رسد این برنامه آن چنان که باید و شاید بی‌عیب نبوده است. تاویس اورماندی، پژوهش‌گر گوگل موفق شده است چندین آسیب‌پذیری را در این نرم‌افزار شناسایی کند. این آسیب‌پذیری‌ها به او اجازه داده‌اند تا به سادگی گذرواژه ذخیره شده در LastPass را به سرقت ببرد. اورماندی در این ارتباط گفته است: «آیا به راستی مردم از این چنین برنامه‌ای استفاده می‌کنند؟ آن‌گونه که من این برنامه را مورد بررسی قرار دادم، مجموعه‌ای از آسیب‌پذیری‌های بحرانی را شناسایی کرده‌ام. من در طی روزهای آینده گزارشی در ارتباط با این آسیب‌پذیری‌ها را منتشر خواهم ساخت. با توجه به این‌که LastPass در حال بررسی این آسیب‌پذیری و ترمیم آن است امکان ارائه جزییات مربوط به این آسیب‌پذیری‌ها امکان‌پذیر نیست.»

آسیب‌پذیری‌های قدیمی تازه کشف شده

اما این تنها اورماندی نیست که موفق شده است این چنین آسیب‌پذیری‌هایی را شناسایی کند. کارشناس امنیتی دیگری به نام متیاس کارلسان هم گزارش داده است که چندین آسیب‌پذیری را در نرم‌افزار مدیریت گذرواژه LastPass شناسایی کرده است. البته آسیب‌پذیری‌های شناسایی شده توسط کارلسان توسط LastPass ترمیم شده‌اند. کارلسان در این ارتباط گفته است: «در این آسیب‌پذیری‌ها شما تنها به یک آدرس URL نیاز دارید تا کنترل کامل حساب یک کاربر را به دست بگیرید. در این روش هکر قادر است یک آدرس اینترنتی را برای یک کاربر ارسال کرده و گذرواژه متعلق به او را مورد سرقت قرار دهد. افزونه LastPass که ویژه مرورگرها عرضه شده است، این قابلیت را دارد تا فیلدهای درون صفحات را به‌طور خودکار پر کند. اما در عین حال به یک آسیب‌پذیری خاص آلوده است. این آسیب‌پذیری در الگوی بررسی عبارت باقاعده مستتر شده است. این مکانیزم که برای تجزیه و تحلیل آدرس‌های URL مورد استفاده قرار می‌گیرد، ناقص بوده و در نتیجه به یک هکر اجازه می‌دهد دامنه موردنظر را ربایش کند. آسیب‌پذیری موجود در قابلیت تکمیل خودکار به یک هکر اجازه می‌دهد با ارسال یک POC URL که حاوی عبارت facebook.com است، گذرواژه متعلق به فیس بوک را به سرقت ببرد. به‌طور مثال، یک هکر با استفاده از یک ترکیب نحوی همانند مثال زیر قادر است  گذرواژه متعلق به کاربران توییتر را به سرقت ببرد.URL: http://avlidienbrunn.se/@twitter.com/@hehe.php »

در حالی که این چنین رخنه‌هایی در این چنین برنامه‌هایی نگران کننده است، اما این اخبار به معنای کنار گذاشتن این برنامه‌ها نیست. کاربران می‌توانند به جای استفاده از یک برنامه مدیریت گذرواژه مبتنی بر مرورگرها از نسخه‌هایی که نیازی به اتصال به اینترنت ندارند، همچون Keepass استفاده کنند. LastPass موفق شده است، آسیب‌پذیری گزارش شده توسط اورماندی را وصله کرده و همچنین به‌روزرسانی ویژه مرورگر فایرفاکس را برای نگارش 4 LastPass ارائه کند. در نتیجه اگر از کاربران فایرفاکس هستید، بهتر است از نگارش 4.1.21a استفاده کنید. برای دسترسی به افزونه اصلاح شدده از آدرس LastPass Security Updates استفاده کنید.