Tags:
Node Thumbnail

Detectify รายงานช่องโหว่ของซอฟต์แวร์เก็บรหัสผ่าน LastPass ที่มีบริการเติมรหัสผ่านลงเว็บอัตโนมัติ

ช่องโหว่นี้เกิดจากตัวอ่าน URL ของ LastPass มีบั๊กไม่อ่านตัว at-sign (@) ทำให้เมื่อแฮกเกอร์สร้าง URL อย่างจงใจหลอก LastPass เช่น http://avlidienbrunn.se/@twitter.com/@hehe.php จะสามารถหลอกปลั๊กอินว่าเป็นเว็บ twitter.com ได้ และ LastPass จะถูกหลอกให้ใส่รหัสผ่านของ twitter.com ลงเว็บอื่นได้โดยง่าย

ทาง Detectify ระบุว่าแม้ซอฟต์แวร์ช่วยจำรหัสผ่านจะมีปัญหาบ้าง แต่ก็ยังดีกว่าการใช้รหัสผ่านซ้ำในหลายๆ บริการมาก อย่างไรก็ดีผู้ใช้อาจจะเลือกปิดการช่วยเติมรหัสผ่านอัตโนมัติไป เพราะฟีเจอร์นี้มีช่องโหว่มาแล้วหลายครั้ง

ทาง LastPass ออกเวอร์ชั่นใหม่แก้ไขปัญหานี้แล้ว

ที่มา - Detectify

Get latest news from Blognone

Comments

By: soginal
AndroidIn Love
on 28 July 2016 - 01:11 #928546
soginal's picture

var site = 'user@www.web.com'.split('@')[1]

5555

By: TheOne
iPhoneWindows Phone
on 28 July 2016 - 10:13 #928607
TheOne's picture

ความเชื่อใจน่าจะหายไปเยอะแล้วสำหรับ ...| LostPass รั่วทีนึงต้องเปลี่ยนรหัสใหม่หมดยกชุด

By: shelling
ContributoriPhoneAndroidUbuntu
on 28 July 2016 - 11:49 #928635
shelling's picture

รอหมด subscription plan จะไปซื้อ 1Password ละ T_T