Suosittu LastPass-salasanapalvelu osataan murtaa, tutkijat paljastavat metodit Black Hat Europessa *Päivitetty*

Hakkereiden Black Hat Europe 2015 -tapahtuma pidetään Amsterdamissa 10. – 13. marraskuuta. Luvassa on jälleen tänä vuonna useita mielenkiintoisia puheita ja esityksiä, joissa muun muassa paljastetaan eri palvelujen ja ohjelmistojen haavoittuvuuksia.

Yksi huolestuttavimmista puheista koskee suosittua salasanapalvelua LastPass. Mikä pahinta, LastPassiin tallennetaan salasanojen lisäksi myös muun muassa pankki- ja henkilötietoja. Tutkijat Alberto Garcia ja Martin Vigo pitävät Black Hat Europessa esityksen, jossa he paljastavat miten hyökkääjä voi varastaa kohteen pääsalasanan ja purkaa sen salauksen, sekä miten palvelun tilinpalautuspalvelua voidaan hyödyntää itse tietosäilön salausavaimen saamiseksi.

Haavoittuvuudet löydettiin takaisinmallintamalla palvelun tietokoneelle asennettavat lisäosat. Tietojensa avulla parivaljakko kirjoitti ohjelmistomoduulin, joka osaa etsiä automaattisesti kohdetitetokoneelta kaikki LastPassiin liittyvät datat ja tilit, varastaa ja purkaa niiden salasanat, etsiä 2FA-luottoavaimen sekä varastaa koko LastPass-tietosäilön sisällön purettavaksi, ja lopulta tulostaa kaikki tililtä löytyvät tiedot.

Päivitys 16.9 klo 17.30:

Uusien tietojen mukaan haavoittuvuuksista on raportoitu LastPassille jo viime vuonna, ja ne on jo korjattu.

gHacks Tech News, Researchers to reveal critical LastPass issues in November 2015

Black Hat Europe 2015, Briefings, Even the LastPass will be stolen, deal with it!

MuroBBS, Päivän tietoturvauutinen *postaa tänne*, Yksittäinen viesti (escalibur)