Конфиденциальность данных в современном мире 15 июля 2014, 18:52 15 июля 2014, 19:52 15 июля 2014, 20:52 15 июля 2014, 21:52 15 июля 2014, 22:52 15 июля 2014, 23:52 16 июля 2014, 00:52 16 июля 2014, 01:52 16 июля 2014, 02:52 16 июля 2014, 03:52 16 июля 2014, 04:52

В популярных менеджерах паролей нашли уязвимости

  • В популярных менеджерах паролей нашли уязвимости
Исследователи из Калифорнийского университета в Беркли заявили об обнаружении ряда критических уязвимостей в популярных менеджерах паролей, таких как LastPass и PasswordBox. Самые серьезные из ошибок позволяли злоумышленникам дистанционно завладеть конфиденциальной информацией, не оставляя следов.

Исследователи из Калифорнийского университета в Беркли (США) заявили об обнаружении ряда критических уязвимостей в популярных онлайн-менеджерах паролей. "Дыры", в частности, были найдены в LastPass, PasswordBox, RoboForm, My1login и NeedMyPassword. Самые серьезные из ошибок позволяли злоумышленникам дистанционно завладеть конфиденциальной информацией, не оставляя каких-либо следов взлома.

Подробный отчет, посвященный безопасности хранения паролей в онлайн-менеджерах, будет предоставлен в следующем месяце. Отмечается, что LastPass и разработчики трех из четырех вышеупомянутых сервисов уже устранили уязвимости. Тем не менее, сам факт их наличия может представлять серьезную угрозу в будущем, сказали ученые.

Самая опасная "дыра" была найдена в LastPass — менеджере, которым пользовалось свыше миллиона человек (по состоянию на 2011 год). Ошибка в букмарклете (JavaScript-коде, который сохраняется в виде браузерной закладки) позволяла мошенникам незаметно украсть логины и пароли, как только пользователь нажмет на закладку. Благодаря еще одной лазейке в LastPass хакеры (в случае, если им известна электронная почта жертвы) могли извлечь зашифрованную базу паролей и другие данные.

Другие менеджеры тоже оказались не без изъянов. Например, критические ошибки, допущенные создателями PasswordBox, могли привести к краже миллионов реальных имен, логинов и URL-адресов, где пользователи должны вводить пароли. Подобные "дыры" были найдены в RoboForm, My1login и NeedMyPassword.

Важно, что ученые изучали на предмет уязвимостей только те менеджеры, которые держат информацию в "облаке" и синхронизируют ее между разными браузерами и устройствами. Приложения, хранящие базу паролей локально, ими не рассматривались.

Источник: Ars Technica

Читайте также

Видео по теме

Эфир

Лента новостей

Авто-геолокация